+ 
EARL Be 
通过 任 一 项 华为 职业 认证 ， 您 即 可 在 华为 在 线 学 习 网 站 (htfp;//earning.huawei.com/cn) 享有 如 下 特权 : 
。 1、 华为 E-learning 课程 学 习 
o AS: 所 有 华为 职业 认证 E-Learning 课 程 ， 扩 展 您 在 其 他 技术 领域 的 技术 知识 
BU: 请 提交 您 的 “华为 账号 ”和 注册 账号 的 “email 地 址 ”到 Learning@hvawei.com Hi¥FRK Re 
华为 培训 教材 下 载 
AS: 华为 职业 认证 培训 教材 + 华为 产品 技术 培训 教材 ， 覆 盖 企业 网 络 、 存 储 、 安 全 等 诸多 领域 
方式 : BREAZAS This, KA MEABI-ARBI! ， 在 具体 课程 页 面 即 可 下 载 教 料 8 
华为 在 线 公 开课 (LVC) 优 先 参与 
AR: 企业 网 络 、UC&C、 安 全 、 存 储 等 诸多 领域 的 职业 认证 课程 ， 华 为 讲师 授课 多 AREA MAIR 
HR: 开 班 计划 及 参与 方式 请 详 见 LVC 排 期 : 


http://support.huawei.com/learning/NavigationAction!createNaviFmavilidj=_16 

学 习 工 具 eNSP 
eNSP (Enterprise Network Simulation Platform), 是 由 华为 提供 的 免费 的 、 可 扩展 的 、 图 形 化 网 络 仿 
真 工 具 。 主 要 对 企业 网 路 由 器 和 交换 机 进行 硬件 模拟 ， 完 美 呈现 真实 设备 沉 回 ; 同时 也 支持 大 型 网 络 





模拟 ,让 大 家 在 没有 真实 设备 的 情况 下 也 能 够 进行 实验 测试 。 
另外 , 华为 建立 了 知识 分 享 平台 华为 认证 论坛 。 您 可 以 在 线 与 华为 技术 专家 交流 技术 ， 与 其 他 考生 分 享 考 试 
经 验 ， 一 起 学 习 华 为 产品 技术 。_( http://support.huawei.confjSeommmunity/bbs/list 2247.html ) 
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华为 认证 系统 介绍 





依托 华为 公司 雄厚 的 技术 实力 和 专业 的 培训 体系 ,华为 认证 考虑 到 不 同 客户 对 ICT 
技术 不 同 层次 的 需求 ， 致 力 于 为 客户 提供 实战 性 、 专 业 化 的 技术 认证 。 根据 4 技术 
的 特点 和 客户 不 同 层次 的 需求 ， 华 为 认证 为 客户 提供 面向 十 三 个 方向 的 四 级 扇 证 体系 。 

HCNA-Security (Huawei Certified Network Associate-Security ， 华 为 网 络 安全 工 
程 师 认证 ) 主要 面向 网 络 安全 维护 工程 师 ， 以 及 准备 参加 HCNA-Security 认证 考试 的 
AR; 希望 掌握 网 络 安全 的 基本 原理 和 华为 防火 墙 基本 操作 与 部 署 能 为 的 人 员 。HCNA 
认证 在 内 容 上 涵盖 网 络 安全 概述 、 防 火 墙 基础 技术 、 防 火 墙 安 全 策略 、 网 络 地 址 转换 技 
术 、 防 火 墙 双 机 热 备 技术 、 防火 墙 用 户 管理 、 防 火 墙 互联 网 技术 、(E2TP、GRE、IPSec、 
SSL) VPN 技术 、 防 火 墙 UTM 技术 、 终 端 安全 技术 。 

HCNP-Security (Huawei Certified Network Professional-Security， 华 为 认证 网 络 
安全 资深 工程 师 ) 主 要 面向 企业 级 网 络 安全 维护 工程 师 、 专 家 工程 师 以 及 希望 系统 深入 
边界 安全 、 终 端 安全 、 内 容 安全 技术 与 部 署 的 人 员 有 5 

HCNP-Security 包括 CISN (Constructingslnfrastructure of Security Network ， 构 
建安 全 网 络 架 构 ) ~ CTSS (Constructing Terminal Security System ， 构 建 终端 安全 体 
系 ) 、CSSN (Constructing Service Security Network, 构建 内 容 安全 网 络 ) 三 个 部 分 。 
内 容 上 涵盖 防火 墙 高 级 技术 (IP Carn IPsLink、Eth-Trunk、Link-Group、 虚 拟 防 火 墙 
VFW、 双 机 热 备 高 级 技术 、IPSecVPNN L2TP over IPSEC VPN 、DDOS 攻击 防范 技 
术 及 常见 故障 排除 方法 )、 终 端 安全 技术 (TSM 技术 、DSM 技术 及 常见 故障 处 理 方法 )、 
UTM 技术 (Anti Virus, IPSMail/Web/FTP Filtering, DPI 及 常见 的 故障 处 理 方 法 ) 。 

HCIE-Security (Huawei Certified Internetwork Expert--Security， 华 为 认证 互联 网 
络 安全 专家 ) 旨 在 培养 能 够 熟练 掌握 各 种 防火 墙 技术 ; 精通 华为 安全 产品 的 维护 、 诊 断 
和 故障 排除 ; 具备 大 型 网 络 的 安全 规划 、 设 计 和 优化 的 网 络 大 师 。 

华为 认证 协助 您 打开 行业 之 窗 ， 开 启 改 变 之 门 ， 屹 立 在 ICT 世界 的 潮 头 浪 尖 ! 
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简介 

本 书 为 HCNA - Security 认证 培训 教程 ， 适 用 于 华为 认证 网 络 安全 工程 师 以 及 准备 
参加 HCNA - Security 考试 的 学 员 或 者 希望 系统 掌握 华为 网 络 安 全 产品 与 技术 的 学 员 。 

内 容 描述 > 

本 书 共 包含 十 二 个 Module， 系 统 地 介绍 了 华为 防火 墙 技 术 ( 防 火 墙 基础 技术 、 防 
火 墙 安 全 策略 、 网 络 地 址 转换 技术 、 防 火 墙 双 机 热 备 技术 、 防 火 墙 用 户 管理 、 防 火 墙 互 
联网 技术 、 (L2TP、GRE、1IPSec、SSL) VPN 技术 、 防 火 墙 UTM 技术 、 终 端 安全 技 
术 及 其 应 用 和 常见 的 故障 处 理 方法 。 

Module1 详细 介绍 了 网 络 安全 概述 , 主要 包括 OST 模型 AICP)HP thi RIB. TCP/IP 
协议 存在 的 安全 问题 、 常 见 的 网 络 攻击 方式 。 

Module 2 详细 介绍 了 防火 墙 基础 技术 ， 主 要 有 防火 墙 的 定义 、 分 类 、 主 要 功能 、 技 
术 、 转 发 数据 流 、 基 本 配置 。 

Module 3 详细 介绍 了 防火 墙 安全 策略 ， 主 要 包括 防火 墙 包 过 滤 技术 、 防 火 墙 安全 
策略 分 类 、 应 用 场景 及 配置 方法 。 

Module 4 详细 介绍 了 网 络 地 址 转换 技术 ， 主 要 包括 NAT 的 技术 原理 、 不 同 的 应 用 
场景 、NAT 配置 。 

Module 5 详细 介绍 了 防火 墙 双 机 热 备 技术 ， 主 要 包括 : VRRP、VGMP、HRP th 
议和 典型 场景 的 双 机 热 备 配置 。 

Module 6 详细 介绍 了 防火 墙 用 户 管理 ， 主 要 包括 : 用 户 认证 技术 、AAA 技术 、 用 
户 认证 管理 的 配置 。 

Module 7 详细 介绍 了 防火 墙 互联 网 技术 ， 主 要 包括 VLAN 的 基本 技术 、SA 与 E1 
广 域 接口 技术 、ADSL 的 基本 技术 、WLAN 与 3G 无 线 技术 。 

Module 8 详细 介绍 了 VPN 技术 基础 ; 主要 包括 VPN 概念 、VPN 关键 技术 、VPN 
分 类 及 应 用 (L2TP 和 GRE) 。 

Module 详细 介绍 了 IPSEC VPN 技术 ， 主 要 包括 IPSEC 技术 的 基本 原理 、 应 用 
场景 及 配置 方法 六 安全 协议 AH 与 ESP RRNA, IKE 协议 的 业务 流程 。 

Module10、 详 细 介 绍 了 SSL VPN 技术 ， 主 要 包括 SSL VPN 的 技术 原理 、 配 置 方法 
及 SVN 产品 的 基本 功能 和 特性 。 

Module 11 详细 介绍 了 防火 墙 UTM 技术 , 主要 包括 : 防火 墙 1PS 技术 和 防火 墙 AV 
网 关 防 病毒 技术 及 配置 

Module 12 详细 介绍 了 终端 安全 技术 ， 主 要 包括 终端 安全 定义 、TSM 系统 组 成 部 
份 及 部 署 、TSM 系统 组 织 管理 和 准 放 控制 方式 、TSM 系统 安全 策 配 置 。 
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本 课程 将 引导 学 员 完 成 所 有 Module ， 学 完 本 课程 之 后 将 具备 USG 系列 防火 墙 和 
TSM 产品 基本 规划 和 安装 部 署 能 力 ,以 胜任 网 络 安全 工程 师 或 系统 管理 员 的 工作 岗位 。 

读者 必 备 知识 背景 

本 课程 为 华为 网 络 安全 认证 基础 课程 ， 阅 读本 书 的 读者 应 首先 具备 以 下 基本 条 件 之 








(1) 熟悉 数据 通信 网 络 的 基础 知识 ; X 
(2) 具备 一 定 的 网 络 设备 组 网 经 验 ; 
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@ 目标 


。 学 完 本 课程 后 ， 您 将 能 够 : 
o 了解 OSI 模型 
o 理解 TCP/IP 协 议 原 理 
o 了 解 TCP/IP 协 议 存 在 的 安全 隐患 
o 理解 针对 TCP/IP 各 层 常 见 攻 击 的 技术 原理 
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3. 常见 网 络 攻击 方式 
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OSI 模型 的 提出 


。 OSI 模型 提出 的 目的 
e OSI 模型 设计 原则 
。 OSI 模型 的 优点 ~ 
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OSl:Open System Interconnect Reference Model, 开放 式 系统 互联 参考 模型 。 


@ 〇 sl 模型 的 设计 目的 是 成 为 一 个 开放 网 络 互联 模型 ， 来 克服 使 用 众多 网 络 模型 所 带 来 
的 互联 困难 和 低 效 性 。 


。 O 〇 SI 参考 模型 很 快 成 为 计算 机 网 络 通信 的 基础 模型 。 在 设计 时 遵循 了 以 下 原则 : 


口 


口 


口 


口 


口 


各 个 层 之 间 有 清晰 的 边界 入 便于 理解 ; 

每 个 层 实现 特定 的 功能 冷 且 相互 不 影响 ; 

每 个 层 是 服务 者 又 是 被 服务 者 ， 即 为 上 一 层 服 务 ， 又 被 下 一 层 服务 ; 
层次 的 划分 有 利于 国际 标准 协议 的 制定 ; 

层次 的 数目 应 该 足够 多 ， 以 避免 各 个 层 功 能 重复 。 





© O 〇 Sl 参考 模型 具有 以 下 优点 : 
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口 


口 
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简化 了 相关 的 网 络 操作 ; 
提供 即 插 即 用 的 兼容 性 和 不 同 厂商 之 间 的 标准 接口 ; 
使 各 个 厂商 能 够 设计 出 互 操作 的 网 络 设备 ， 加 快 数据 通信 网 络 发 展 ; 


防止 一 个 区 域 网 络 的 变化 影响 另 一 个 区 域 的 网 络 ， 因 此 ， 每 一 个 区 域 的 网 络 都 能 
单独 快速 升级 ; 
把 复杂 的 网 络 问题 分 解 为 小 的 简单 问题 ， 易 于 学 习 和 操作 。 























OSI 模 型 七 层 
APDU 应 用 层 7 ”提供 应 用 程序 间 通 信 
= PPDU 表示 层 6 ”处 理 数据 格式 、 semg? 
SPDU Sik 5 ”建立 、 维 护 和 管理 会 话 
-~ Segment 传输 层 4 ， 建立 主机 端 到 端 连 接 
packet 网 络 层 3 ” 寻 址 和 路 由 选择 
z< Frame 数据 链 路 层 2 ”提供 介质 访问 、 链 路 管理 等 
n 
a Bit 物理 层 | 1 them EtA 
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OSI 七 层 模 型 中 ， 给 每 一 个 对 等 层 数据 起 一 个 统一 的 名 字 为 : 协议 数据 单元 (PDU, 
Protocol Data Unit) 。 相 应 地 ， 应 用 层 数 据 称 为 应 用 层 协 议 数 据 单元 (APDU，Application 
Protocol Data Unit) ， 表 示 层 数据 称 为 表示 层 协议 数据 单元 (PPDU, Presentation Protocol 
Data Unit) ， 会 话 层 数据 称 为 会 话 层 协议 数据 单元 (SPDU, Session Protocol Data Unit) o 
通常 ， 我 们 把 传输 层 数据 称 为 段 (Segment) ， 网 络 层 数据 称 为 数据 包 (Packet) ， 数 据 
链 路 层 称 为 帧 (Frame) ， 物 理 层 数据 称 为 比特 流 (Bit) o 


封装 (Encapsulation) 是 指 网 络 节点 (Node) 将 要 传送 的 数据 用 特定 的 协议 头 打 包 ， 
来 传送 数据 ， 同 样 在 某 些 层 进 行 数据 处 理 时 ， 也 会 在 数据 尾部 加 上 报 文 ， 这 时 候 也 称 为 封 
装 。0OSI 七 层 模 型 的 每 一 层 都 对 数据 进行 封装 ， 以 保证 数据 能 够 正确 无 误 的 到 达 目 的 地 ， 
被 终端 主机 接受 、 执 行 。 
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ara ‘ws 
对 等 层 通 讯 
。 每 一 层 利 用 下 一 层 提供 的 服务 与 对 等 层 通信 
APDU 
应 用 I= eT at) em Sas oe eG —> 应 用 E 
-一 一 一 xX 
p PPDU 
cooo ize =p 表示 层 
SPDU 
Siae |--o -> 会 话 层 
Fl Segment 三 -一 一 
aj 传输 层 |。.-.-.-.-.-. _*| ”传输 层 
— Packet —— 

Host A | keds Frame La! = Host B 
数据 链 路 层 ~~ ->| 数 Z 
一 Bit Ead 
物理 层 ~~ | ~ 物理 层 
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物理 层 涉及 到 在 通信 信道 (channel) < 上 传输 的 原始 比特 流 ， 是 OSI 参考 模型 的 基础 ， 
它 实 现 传输 数据 所 需要 的 机 械 、 电 气功 能 特性 。 它 不 关心 每 一 bit 流 (0,1) 所 代表 的 含义 
( 如 : 代表 地 址 还 是 应 用 数据 ) ， 只 关注 如 何 把 bit 流 通过 不 同 物理 链 路 传输 至 对 端 。 典 
型 的 象 中 继 器 、 集 线 器 (hub) 就 属于 物理 层 设备 。 

链 路 层 主要 任务 是 提供 对 物理 层 的 和 控制， 检测 并 纠正 可 能 出 现 的 错误 ， 使 之 对 网 络 层 
显现 一 条 无 错 线路 ， 并 且 进 行 流量 调控 。 

网 络 层 检 查 网 络 拓扑 , 4 以 决定 传输 报 文 的 最 佳 路 由 ， 转 发 数据 包 。 其 关键 问题 是 确定 
数据 包 从 源 端 到 目的 端 姐 何 选择 路 由 。 网 络 层 设备 通过 运行 路 由 协议 (Routing Protocol) 
来 计算 到 目的 地 的 最 佳 路 由 六 找到 数据 包 应 该 转发 的 下 一 个 网 络 设备 ， 然 后 利用 网 络 层 协 
议 封 装 数据 包 ， 利 用 下 层 提供 的 服务 把 数据 发 送 到 下 一 个 网 络 设备 。 

传输 层 位 于 OSI 参考 模型 第 四 层 ， 最 终 目 标 是 向 用 户 〈 一 般 指 应 用 层 的 进程 ) ， 提 供 
有 效 、 可 靠 的 服务 。 

在 会 话 层 及 以 土 的 高 层次 中 ， 数 据 传送 的 单位 不 再 另外 命名 ， 统 称 为 报 文 。 会 话 层 不 
参与 具体 的 传输 ， 它 提供 包括 访问 验证 和 会 话 管理 在 内 的 建立 和 维护 应 用 之 间 通 信 的 机 制 。 
如 服务 器 验证 用 户 登 录 便 是 由 会 话 层 完成 的 。 

表示 层 主 要 解决 用 户 信息 的 语法 表示 问题 。 它 将 和 欲 交 换 的 数据 从 适合 于 某 一 用 户 的 抽 
象 语法 , ` 转 换 为 适合 于 OSI 系 统 内 部 使 用 的 传送 语法 。 即 提供 格式 化 的 表示 和 和 转换 数据 服 
务 。 数 据 的 压缩 和 解压 缩 ， 加 密 和 解密 等 工作 都 由 表示 层 负责 。 

应 用 层 为 操作 系统 或 网 络 应 用 程序 提供 访问 网 络 服务 的 接口 。 
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网 络 数 据 流 处 理 流程 


| 应 用 层 | 
表示 层 
会 话 层 
传输 层 
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数据 链 路 层 
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网 络 数据 流 处 理 过 程 : 


. 当 某 一 网 络 的 主机 应 用 程序 需要 发 送 报 文 到 位 于 另 一 个 网 络 的 主机 时 ， 与 该 主机 在 同 


一 网 络 上 的 路 由 器 的 一 个 接口 会 接收 到 数据 帧 。 


去 掉 链 路 层 帧 头 ， 并 将 网 
络 层 数据 送 往 相应 的 网 络 层 进行 处 理 。 


. 网 络 层 检查 报 文 头 以 决定 目的 地 址 所 在 网 段 ， 然 后 通过 查找 路 由 表 以 获取 相应 下 一 跳 


出 接口 。 


. 下 一 跳出 接口 的 链 路 层 为 该 报 文 加 上 链 路 层 帧 头 ， 封 装 成 数据 帧 并 发 送 到 下 一 跳 。 每 


一 个 报 文 的 转发 都 要 进行 这 一 过 程 。 


. 在 到 达 目 的 主机 所 在 网 络 时 ， 报 文 被 封装 成 目的 网 络 的 链 路 层 数据 帧 ， 发 送 给 相应 的 


目的 主机 。 


. 目的 主机 接收 到 该 报 文 后 ， 经 过 链 路 层 、 网 络 层 的 处 理 ， 去 掉 链 路 层 帧 头 、 网 络 层 报 


文 头 后 ， 送 给 相应 的 协议 模块 处 理 。 
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TCP/IP 和 OSI 的 对 应 关系 


。 TCP/IP 协 议 栈 具 有 简单 的 分 层 设计 ， 与 OSI 参 考 模型 有 清晰 的 对 应 
关系 OSI TCP/IP 





TCP/IP (Transfer Control Protocol/Internet Protocol， 传 输 控 制 协议 /网 际 协议 ) 模型 的 
开放 性 和 易 用 性 ， 以 致 在 实践 中 得 到 了 庶 泛 应 用 ， 从 而 使 TCPHP 协 议 栈 事实 上 的 标准 协议 。 

TCP/P 模 型 与 OSI 参考 模型 的 不 同 点 在 于 TCP/IP 把 表示 层 和 会 话 层 都 归 入 应 用 层 ， 所 以 
TCP/IP 模 型 从 下 至 上 分 为 四 层 : 数据 链 路 层 ， 网 络 层 ， 传 输 层 和 应 用 层 。 在 有 些 文献 中 也 
划分 成 五 层 ， 即 把 物理 层 也 单独 列 由 
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发 送 方 将 用 户 数据 提交 给 应 用 程序 把 数 
. 用 户 数据 首先 传送 至 应 用 层 ， 添 加 应 用 层 信 息 ; 
. 完成 应 用 层 处 理 后 ， 数 据 ; 
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应 用 层 协 议 已 规定 是 [CP 还 是 UDR) ; 
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居 送 达 和 目的 地 ， 整 个 数据 封装 流程 如 下 : 


各 往 下 层 传输 层 继续 传送 ， 添 加 传输 层 信息 (如 TCP 或 UDP， 


生 往 下层 网 络 层 继续 传送 ， 添 加 网 络 层 信息 (如 IP) ; 
居 链 接 层 继续 传送 ， 添 加 数据 链 层 信息 (如 








Ethernet、802.3、PPP、HDLC 等 ) ， 而 后 以 比特 流 方式 传输 至 对 端 (中 间 根 据 不 同类 


型 设备 处 理 方式 不 同上 区 换 机 一 般 只 进行 数 和 
到 达 最 终 目 的 地 才能 恢复 原 用 户 数据 ) ; 
用 户 数据 到 达 目 的 地 后 > 将 
. 数据 包 先 传送 至 数据 链 路 层 ， 经 过 解析 后 数据 链 路 层 信息 被 剥离 ， 并 根据 解析 信息 知道 


络 层 处 理 ， 只 








网 络 层 信息 比如 为 IP; 





i, EERITCP, 


处 理 协议 ， 比 如 HTTP ; 





应 用 层 接 收 到 数据 包 后 ， 经 


主机 发 送 的 数据 完全 相同 。 





应 用 层 和 传输 层 提 供 端 到 端 服务 ， 网 络 层 和 数 和 








完成 解 封装 流程 : 





. 网 络 居 接 收 数据 包 后 ， 经 过 解析 后 网 络 层 信息 被 剥离 ， 并 根 














居 链 路 层 信 息 处理 ， 而 路 由 器 进行 更 高 层 网 





居 解 析 信 息 知道 上 层 处 理 协 


. 传输 层 (TCP) 接 收 数据 包 后 ， 经 过 解析 后 传输 层 信息 被 剥离 ， 并 根据 解析 信息 知道 上 层 








过 解析 后 应 用 层 信息 被 剥离 ， 








最 终 展示 的 用 户 数据 与 发 送 方 


居 链 路 层 提供 段 到 段 服务 。 
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TCP/IP 协 议 栈 各 层 作 用 


ICMP IGMP 
= z 一 > 寻 址 和 路 由 选择 
网 络 层 IP | EA 寻 址 和 路 由 选择 


Ethernet, 802.3, PPP HDLC, FR 
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TCP/IP 协 议 每 一 层 都 有 对 应 的 相关 协议 ， 且 均 为 达成 某 一 网 络 应 用 而 产生 ， 对 于 某 些 
协议 在 分 层 上 还 不 能 严格 对 其 定义 。 比 如 ICMPR、IGMP、ARP、RARP 协 议 我 们 把 他 们 放 在 
与 网 络 层 IP 协 议 同 一 层 。 但 在 某 些 场合 我 们 可 能 会 把 CMP、IGMP 放 在 IP 协 议 的 上 层 ， 而 把 
ARP、RARP 放 在 IP 协 议 的 下 层 。 


。 应 用 层 
o HTTP ( 超 文 本 传输 协议 ) : 用 来 访问 在 WWW 服 务 器 上 的 各 种 页 面 。 


o FTP (文件 传输 协议 入 :为 文件 传输 提供 了 途径 ， 它 允许 数据 从 一 全 主机 传送 到 
另 一 合 主机 上 。 


a DNS (域名 服务 系统 ) : 用 于 实现 从 主机 域名 到 iP 地址 之 间 的 转换 。 
。 传输 层 
o TCP 《传输 控制 协议 ) : 为 应 用 程序 提供 可 靠 的 面向 连接 的 通信 服务 ， 适 用 于 要 
求 得 到 响应 的 应 用 程序 。 目 前 ， 许 多 流行 的 应 用 程序 都 使 用 TCP。 
o UDP (用 户 数据 报 协议 ) : 提供 了 无 连接 通信 ， 且 不 对 传送 数据 包 进行 可 靠 的 保 
证 。 适 合 于 一 次 传输 小 量 数据 ， 可 靠 性 则 由 应 用 层 来 负责 。 
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TCP/IP 协 议 栈 各 层 作 用 


网 络 层 IP ers 一 > 寻 址 和 路 所 选择 


Ethernet, 802.3, PPP, HDLC, FR 
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网 络 层 


o IP (互联 网 协议 ) : IP 协 议和 路 由 协议 协同 工作 ， 寻 找 能 够 将 数据 包 传送 到 目的 端 
的 最 优 路 径 。IP 协 议 不 关心 数据 报 文 的 内 容 ， 提 供 无 连接 的 、 不 可 靠 的 服务 。 


o ARP (地 址 解析 协议 ) : 把 已 知 的 IP 地 址 解析 为 MAC 地 址 。 
o RARP ( 反 向 地 址 解析 协议 ,x 用 于 数据 链 路 层 地 址 已 知 时 ， 解 析 IP 地 址 。 
o ICMP (网 际 控 制 消 息 协 议 ) : 定义 了 网 络 层 控制 和 传递 消息 的 功能 。 
o IGMP (网 际 组 管理 协议 ) : 用 于 组 播 组 成 员 管 理 。 
数据 链 路 层 
o 数据 链 路 层 分 为 两 个 子 层 : 逻辑 链 路 控制 子 层 (LLC, Logic Link Control Sublayer) ， 
介质 访问 控制 子 层 (MAC, Media Access Control Sublayer) 。 














O 230 














。 。 源 套 接 字 : 源 IP 地 址 + 协议 + 源 端口 
= a 目的 套 接 字 : 目的 IP 地 址 + 协议 + 目的 端口 
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一 个 套 接 字 由 相关 五 元 组 构成 : 源 IP 地 址 、 目的 IP 地 址 、 协 议 、 源 端口 、 目 的 端口 。 
其 中 协议 信息 ， 如 TCP 为 6，UDP 为 17。 


目的 端口 : 一 般 知 名 的 应 用 服务 均 会 有 标准 的 端口 ， 比 如 HTTP、FTP、Telnet 等 ， 其 中 
有 些 应 用 因 非 流行 等 原因 ， 其 端口 一 般 由 和 开发 厂商 自行 定义 ， 但 要 保证 在 同一 合 服务 器 注 
册 的 服务 端口 是 唯一 的 。 

源 端 口 : 一 般 都 采用 1024 肌 以 上 端口 进行 递增 分 配 ， 但 某 些 操作 系统 可 能 会 使 用 更 高 
的 端口 号 做 为 其 初始 端口 进行 递增 分 配 。 因 源 端 口 不 可 预知 性 ， 所 以 在 ACL 策 略 中 比较 少 

任何 应 用 服务 器 要 想 对 外 提供 业务 服务 ， 均 需 在 服务 启动 期 间 在 TCP/JUDP 上 进行 端口 
注册 ， 以 便 响 应 业务 服务 请 求 。 通 过 五 元 组 ， 应 用 服务 器 可 响应 任何 并 发 服务 请 求 ， 且 能 
保证 每 一 链接 在 本 系统 内 是 唯一 的 。 
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BU) 





数据 链 路 层 协议 
。 以 太 网 协议 封装 


6 字 节 6 字 节 + 2 字 4 ue 












节 46-1500 字 节 = 


类 
o 类 型 ，0x0806: 代表 ARP 
类 型 ，0x8035: 代表 RARP 
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我 们 在 此 只 列 出 局 域 网 协议 的 一 种 ， 广 域 网 协议 可 参考 其 它 互联 网 文献 。 
局 域 网 协议 ， 包 括 以 太 网 、 令 牌 网 等 。 注 要 有 两 种 帧 格式 ， 即 以 太 网 帧 格式 和 802.3 
帧 格式 ， 目 前 以 以 太 网 帧 格式 应 用 为 主 W802.3 帧 格式 相对 比 以 太 网 帧 格式 复杂 些 ， 除 了 
多 提供 长 度 字 段 外 ， 还 增加 了 其 它 类 字段 ， 不 过 此 两 类 帧 格式 对 最 小 长 度 和 最 长 长 度 均 要 


求 一 致 。 
居 链 路 层 协 议 主要 包括 以 下 功能 : 





Bt 








o 数据 链 路 参数 协调 ， 比 如 双 工 、 速 率 等 ; 


o 针对 发 送 数 据 包 负责 封装 数 


o 对 于 太 部 分 数 和 





责 识别 数据 帧 头 信息 ， 对 于 发 给 自身 数据 包 进行 解 封装 处 理 ; 








般 是 由 后 面 将 讲述 的 传输 层 协议 来 提供 ， 比 如 TCP 协 议 。 





居 链 路 层 协 议 在 TCP/IP 协 议 栈 中 ， 可 以 说 是 最 低层 协议 。 可 分 为 局 域 网 和 广域网 ， 





居 帧 头 信 息 (可 能 还 会 有 帧 尾 ) ， 针 对 接收 数据 包 负 


居 链 路 层 协 议 ， 均 具备 侦 错 能 力 ， 但 不 支持 纠 错 能 力 ， 纠 错 功 能 一 
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e Version( 版 本 ): 

占 4bit， 标 识 IP 封包 的 版 本 ， 目 前 使 用 的 是 Pv4; 
e 报 文 长 度 (Header Length) 

占 4bit， 描 述 IP 包 头 的 长 度 ， 单 位 为 字 节 (bytes) 
。 服务 类 型 (Type of Service) : 

占 8bit， 前 3 个 bit 定 义 包 的 优先 级 ， 后 5 个 bit 分别 表示 为 D 时 延 、T 吞吐 量 、 R 可 靠 性 、 
M 传输 成 本 和 0 保留 位 ; 

e IP 包 总 长 (Total Length), : 

占 16bit， 以 字 节 为 单位 计算 的 IP 包 的 长 度 (包括 头 部 和 数据 )，IP 包 最 大 长 度 65535 字 节 
。 标识 符 (Identifier》、: 

占 16bit， 该 字段 和 Flags 和 Fragment Offset 字 段 联 合 使 用 ， 对 较 大 的 上 层 数 据 包 进行 分 
Fx (fragment) 操作 ; 

。 标记 (Flags) : 

占 3bit, 第 1 位 不 使 用 。 第 2 位 是 DF (Don't Fragment) 位 ，1 表 明 不 能 对 数据 包 分 段 ，0 
表示 可 分 段 。 第 3 位 是 MF (More Fragments) 位 ，MF 位 为 1 表示 该 数据 包 为 最 后 1 个 分 段 数 
据 包 3 
eo ~ 片 偏 移 (Fragment Offset) : 

占 3bit， 表 示 该 IP 包 在 该 组 分 片 包 中 位 置 ; 
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。 生存 时 间 (TTL) : 
占 8bit， 数 据 包 每 经 过 1 个 路 由 器 会 将 IP 包 的 厅 L 值 减少 1; 
e 协议 (Protocol) : 
占 8bit， 标 识 了 上 层 所 使 用 的 协议 。 和 端口 号 类 似 ，IP 协 议 用 协议 号 区 分 上 层 协 议 。TCP 
协议 的 协议 号 为 6，UDP 协 议 的 协议 号 池 17。 
。 报头 校 验 和 (Head checksum) : 
计算 iP 头 部 的 校 验 和 ， 检 查 报 文 头 部 的 完整 性 ; 
。 源 IP 地 址 和 目的 iP 地址 
标识 数据 包 的 源 端 设备 和 目的 端 设备 ; 
e 可 选项 (Options): 
这 是 一 个 可 变 长 的 字段 ; 
e 填充 (Padding) : 
因为 | 包头 长 度 (Header Length) 部 分 的 单位 为 32bit， 所 以 IP 包 头 的 长 度 必 须 为 32bit 的 
整数 倍 。 因 此 , 在 可 选项 后 面 ，IP 协 议会 填充 若干 个 0， 以 达到 32bit 的 整数 倍 。 
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UDP 报 文 与 TCP 报 文 的 格式 有 所 不 同 , CP 明显 比 UDP 长 度 更 长 ， 因 此 也 相应 有 更 多 功 


能 ， 比 如 可 靠 性 等 。TCP 报 文 格式 如 下 : 


Sequence Number: 即 发 送 序 号 。 发 送 主 机 端 会 在 TCP 报 文 封装 时 ， 确 定 一 个 初始 号 码 ， 
后 续 报 文 序号 会 依次 的 递增 ， 接 收 端 可 以 根据 此 序号 来 检测 报 文 是 否 接收 完整 。 


Acknowledgement Number : 即 回 应 序号 。 接 收 端 接收 到 TCP 报 文 ， 通 过 检验 确认 之 后 
会 根据 发 送 序 号 产生 一 个 回应 序号 $ 发 送 端 根 据 此 序号 确定 报 文 被 成 功 接收 到 。 


源 端口 号 (Source port) ALE AY OS (Destination port) : 用 于 标识 和 区 分 源 端 设备 
和 目的 端 设 备 的 应 用 进程 。 
Data Offset : 报 类 固定 长 度 。 如 果 options 没 设 定 的 话 ， 其 长 度 是 20byte。 
Reserved : 这 是 保留 区 间 暂 时 还 没 被 使 用 。 
Contral Flag: 包括 六 个 标记 位 。 
o URG 为 1， 表 示 紧 急 报 文 ; 
o AEK 为 1Y， 表 示 需 要 回应 的 报 文 ; 
o “PSH 为 1， 此 报 文 所 携带 的 数据 会 直接 上 传 给 上 层 应 用 程序 而 无 需 经 过 TCP 处 理 ; 
o NRST 为 1， 要 求 重 传 ; 
a SYN 为 1， 表 示 要 求 双方 进行 同步 沟通 ; 
ao FIN 为 1， 表 示 传 送 结束 。 
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8 16 24 31 
Vong A 目的 端口 
UDP 长 度 UDP 校 验 和 “可 选 ) | 
数据 K 
UDP 报 文 格式 
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窗口 大 小 : 称 为 “滑动 视窗 (Sliding Window 当 TCP 连 接 建 立 起 来 后 ， 两 端 都 会 将 窗 
口 大 小 设 定 为 初始 值 ， 然 后 发 送 端 就 会 按 初 始 值 大 小 〈 比 如 3) epee E 
然后 窗口 会 往 后 移动 3 个 报 文 位 ， 填 补 发 送 报 文 出 去 之 后 的 空缺 。 如 果 接 收 端 能 一 次 处 
理 接收 下 来 的 这 3 个 报 文 的 话 ， 就 会 告诉 发 送 端 其 窗口 值 为 3， 但 如 果 接收 庙 只 能 处 理 2 
个 报 文 ， 就 会 告 mal ae 这 时 ， 发 送 端 需要 调整 其 窗口 大 小 为 2， 视 窗 
则 只 会 往 后 移动 2 个 报 文 位 ， 下 二 次 只 发 送 2 个 TCP 报 文 。 

Chechsum : RXRA, Raki SRST HE 导出 一 个 检验 值 并 和 报 文 一 起 发 
送 ， 接 收 端 收 到 报 文 后 产 会 再 对 报 文 进行 计算 ， 如 果 得 出 的 值 和 检验 值 不 一 致 ， 则 会 
要 求 对 方 重 发 该 个 报 文 。 

Urgent Pointer : /如 果 URG 被 设 定 为 1， 这 里 就 会 指示 出 紧急 报 文 所 在 位 置 ， 不 过 这 种 情 
形 非 常 少 见 


Option : 这 个 选项 比较 少 用 。 当 需要 使 用 同步 动作 的 程序 (如 Telnet) 要 处 理 好 终端 的 
交互 模式 就 会 使 用 到 option 来 指定 报 文 的 大 小 ， 因 为 telnet 使 用 的 报 文 很 少 但 又 需要 即 
时 回应 。 Option 的 长 度 为 0, 或 32bit 的 整 倍数 ,如 果 不 足 则 填充 到 满 。 
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建立 TCP 连 接 


。 三 次 握手 








1 
1 
a i 
Client i i 
l ACK ( ! 
Seg= ! 
| q=a+ 
i 1, a ck=b +1 ) i 
i ' 
l i 
i | 
| 1 
1 
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TCP 的 连接 建立 是 一 个 三 次 握手 过 程 ,。 目 的 是 为 了 通信 双方 确认 开始 序号 ， 以 便 后 续 
通信 的 有 序 进行 。 主 要 步骤 如 下 : 


1. 连接 开始 时 ， 连 接 建立 方 (Client) 发 送 SYN 包 ， 并 包含 了 自己 的 初始 序号 ai 


2. 连接 接受 方 (Serven) 收 到 SYN 包 以 后 会 回复 一 个 SYN 包 ， 其 中 包含 了 对 上 一 个 a 包 的 
回应 信息 ACK， 回 应 的 序号 为 下 一 个 希望 收 到 包 的 序号 ， 即 a + 1， 然 后 还 包含 了 
自己 的 初始 序号 b; 

3. 连接 建立 方 (Client) 收 到 回应 的 SYN 包 以 后 ， 回 复 一 个 ACK 包 做 响应 ， 其 中 包含 了 
下 一 个 希望 收 到 包 的 序号 即 b + 1。 


经 过 此 三 次 信息 交换 以 后 ，TCP 连 接 建 立成 功 ， 就 可 以 进行 后 续 通信 了 。 
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lt FFT CPi te 


。 四 次 握手 


ay | ack segs) ! 





FINS 
主动 关闭 方 | 被 动 关闭 方 
| ACK (seq=b+1) i 
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TCP 终 止 连接 的 四 次 握手 过 程 如 下 : 
1. 首先 进行 关闭 的 一 方 〈 即 发 送 第 一 个 FIN) 将 执行 主动 关闭 ， 而 另 一 方 〈 收 到 这 
个 FIN) 执行 被 动 关 闭 。 
2， 当 服务 器 收 到 这 个 FHIN， 它 发 回 一 个 ACK， 确 认 序 号 为 收 到 的 序号 加 1。 和 SYN 一 
样 ， 一 个 FIN 将 占用 一 个 序号 。 


3. 同时 TCP 服 务 器 还 向 应 用 程序 〈 即 丢弃 服务 器 ) 传送 一 个 文件 结束 符 。 接 着 这 个 
服务 器 程序 就 关闭 它 的 连接 ， 导 致 它 的 TCP 端 发 送 一 个 FIN。 


客户 必须 发 回 一 个 确认 ， 并 将 确认 序号 设置 为 收 到 序号 加 1。 


= 
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TCP/IP 协 议 栈 -IPV4 安 全 隐患 


缺乏 数据 源 验 证 
机 制 M4 


+ 
$ 
. 
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随 着 互联 网 的 不 断 发 展 ，TCP/P 协 议 族 成 为 使 用 最 广泛 的 网 络 互 连 协 议 。 但 由 于 协议 
在 设计 之 初 对 安全 考虑 的 不 够 ， 导 致 协议 存在 着 一 些 安全 风险 问题 。Internet 首 先 应 用 于 
研究 环境 ， 针 对 少量 、 可 信 的 的 用 户 群体 网 络 安全 问题 不 是 主要 的 考虑 因素 。 因 此 ， 在 
TCP/IP 协 议 栈 中 ， 绝 大 多 数 协议 没有 提供 必要 的 安全 机 制 ， 例 如 : 


不 提供 认证 服务 

明码 传输 ， 不 提供 保密 性 服务 ， 不 提供 数据 保密 性 服务 
不 提供 数据 完整 性 保护 

不 提供 抗 抵 赖 服务 

不 保证 可 用 性 一 < 服务 质量 (QOS) 
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TCP/IP 协 议 栈 常见 安全 风险 










a 
漏洞 、 缓 冲 区 溢出 攻击 
| WEB 应 用 的 攻击 、 病 毒 及 木马 、..….. 


TCP 欺骗 、TCP 拒 绝 服务 、UDP 拒 绝 服务 
端口 扫描 、..…… 





v 
a 





IP. Smurf Bc. ICMP Bcc 
地 址 扫描 、 .……. 


v 
a 





MAC! aid. MACH HE. ARP! 





设备 破坏 、 线 路 侦 听 
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TCP/P 协 议 栈 中 各 层 都 有 自己 的 协议 由 于 这 些 协议 在 开发 之 初 并 未 重点 考虑 安全 因 
素 ， 缺 乏 必要 的 安全 机 制 。 因 此 ， 针 对 这 些 协 议 的 安全 威胁 及 攻击 行为 越 来 越 频繁 ， 
TCP/IP 协 议 栈 的 安全 问题 也 越 来 越 凸 显 。 
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设备 破坏 


。 物理 设备 破坏 
o 指 攻击 者 直接 破坏 网 络 的 各 种 物理 设施 ， 比 如 服务 器 设施 ， 或 者 
网 络 的 传输 通信 设施 等 X 
= 设备 破坏 攻击 的 目的 主要 是 为 了 中 断 网 络 服务 
。 设备 破坏 攻击 防范 
o 主要 靠 非 技术 方面 的 因素 ， 比 如 建造 坚固 的 机 房 , 在 
全 管理 制度 ， 对 于 需要 铺设 在 外 部 环境 中 的 通信 电 绕 等 
种 加 强 保护 措施 及 安全 管理 措施 


a Fill 
“4 
I 
ar 
灶 
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设备 破坏 攻击 一 般 不 会 容易 造成 信息 的 泄密 = 得 通 常会 造成 网 络 通信 服务 的 中 断 ， 通 

是 一 种 暴力 的 攻击 手段 。 

在 日 益 强 调 网 络 服务 的 高 可 靠 性 的 今天 设备 破坏 攻击 是 需要 重点 关注 的 。 当 然 即使 
不 是 人 为 的 故意 破坏 ， 针 对 各 种 自然 条 件 中 的 物理 损坏 也 是 需要 考虑 的 ， 比 如 中 美 海 底 通 
信 光 缆 的 被 渔船 挂 断 事故 ， 人 台湾 地 震 导 致 的 海底 光缆 中 断 事故 等 。 
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线路 侦 听 


。 物理 层 网 络 设备 





o 集线器 
o 中 继 器 NN X 
。 无 线 网 络 h.i 
。 对 线路 侦 听 的 防范 侦 听 者 
对 于 网 络 中 使 用 集线器 ， 中 继 器 之 类 的 ， 有 条 件 的 话 置换 设 营 为 交换 机 
等 


o 对 于 无 线 网 络 ， 使 用 强 的 认证 及 加 密 机 制 ， 这 样 窃听 者 即使 能 获取 到 传 
输 信号 ， 也 很 难 把 原始 信息 还 原 出 来 
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在 常用 网 络 设备 中 ， 和 集线器 和 中 继 器 工作 原理 类 似 ， 从 任何 一 个 端口 收 上 来 的 数据 包 
都 会 转发 到 其 它 端 口 ， 这 样 ， 如 果 攻 击 者 主机 如 果 能 够 和 这 设备 相连 ， 通 过 相关 的 嗅 探 工 
具 ， 就 能 够 获取 该 网 络 上 所 有 的 通信 数据 信息 。 

对 于 无 线 网 络 ， 由 于 数据 信息 由 无 线 信号 传输 ， 窃 听 者 很 容易 获取 到 传输 信号 。 

侦 听 在 以 太 网 组 网 中 惯常 使 用 ， 是 基于 传送 进行 攻击 的 基础 。 发 起 攻击 的 主机 使 用 置 
于 混杂 模式 的 网 卡 ， 可 以 监听 到 同一 物理 网 段 内 所 有 的 报 文 。 使 用 明文 方式 进行 验证 的 协 
议 ， 用 户 名 和 口令 会 泄露 (SNMP/POP3/Telnet/..), ， 使 用 明文 进行 传送 的 报 文 内 容 会 ; 
漏 ; 报 文 头 中 的 内 容 也 可 能 被 利用 。 
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MACHR aia 


。 MAC 欺 骗 是 一 种 非常 直观 的 攻击 ， 攻 击 者 将 自己 的 MAC 地 址 更 改 为 
受信 任 系统 的 地 址 。 


。 对 于 MAC 攻 击 的 防范 措施 xX 
o 在 交换 机 上 配置 静态 条 目 ， 将 特定 的 MAC 地 址 始终 与 特定 的 端 用 部 定 


FO-DE-F1-33-7F-DA on > | 


€ El 
我 也 是 :FO0-DE-F1-33-7F-DA ù \ 
仿冒 者 
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针对 交换 机 的 Mac 地 址 学 习 机 制 ， 攻 击 者 通过 伪造 的 源 Mac 地 址 数据 包 发 送 给 交换 
机 ， 造 成 交换 机 学 习 到 了 错误 的 Mac 地 址 与 端口 的 映射 关系 ， 导 致 交换 机 要 发 送 到 正确 目 
的 地 的 数据 包 被 发 送 到 了 攻击 者 的 主机 上 ,A 改 击 者 主机 通过 安装 相关 的 嗅 探 软件 ， 可 获得 
相关 的 信息 以 实现 进一步 的 攻击 。 


通过 在 交换 机 上 配置 静态 条 目 矿 绑 定 到 正确 的 出 接口 ， 就 能 避免 Mac 欺 骗 攻 击 风险 。 
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MAC} H 


。 MAC 泛 洪 攻击 利用 了 : 
o 交换 机 的 MAC 学 习 机 制 
o MAC 表 项 的 数目 限制 X 
。 交换 机 的 转发 机 制 Cry fs. _ 

。 MAC 泛 洪 攻击 的 预防 t EREE E | 
。 配置 静态 MAC 转 发 表 i 
o 配置 端口 的 MAC 学 习 数 目 限制 
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交换 机 比 集线器 的 安全 性 更 高 的 原因 是 交换 机 中 的 通信 只 在 对 应 的 端口 之 间 ， 其 它 端 


口 不 能 获取 到 该 通信 信息 ， 降 低 了 报 文 被 侦 听 的 风险 。 为 了 突破 交换 机 的 这 种 安全 特性 ， 


结合 交换 机 的 工作 特性 ， 产 生 了 Mac 泛 洪 玫 击 ，Mac 泛 洪 攻击 的 直接 后 果 一 是 交换 机 的 
转发 性 能 大 幅 下 降 ， 二 是 交换 机 转发 类 似 于 集线器 了 ， 数 据 包 在 YLAN 内 的 所 有 端口 间 泛 





洪 。 

Mac 泛 洪 攻击 一 利用 了 交换 机 的 Mac 学 习 机 制 ， 攻 击 者 通过 发 送 伪造 源 地 址 的 数 所 
包 ， 让 交换 机 学 习 到 错误 的 Mae 转 发 表 项 ， 同 时 交换 机 的 Mac 表 项 是 有 一 定数 目 限 制 上 
， 通 过 发 送 大 量 的 这 种 虚假 信息 包 ， 交 换 机 的 Mac 转 发 表 项 就 会 被 这 种 虚假 的 信息 占 满 ， 








m 


E 
g 





导致 正常 的 数据 包 转 发 时 匹配 不 到 转发 表 项 而 泛 洪 到 VLAN 内 的 所 有 其 它 端口 ， 这 样 就 可 


以 实现 报 文 侦 听 了 。 


通过 配置 静态 条 目 或 者 限制 每 端口 的 Mac 地 址 学 习 数 目 来 降低 Mac 泛 洪 攻击 的 风险 
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。 当 A 与 B 需 要 通讯 时 : 
o 人 发 送 ARP Request 询 问 B 的 MAC 地 址 
o B 发 送 ARP Reply 告 诉 人 A 自己 的 MAC 地 址 
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前 面 讲 到 MAC 泛 洪 ， 使 用 这 个 方法 会 为 网 络 带 来 大 量 垃圾 数据 报 文 ， 对 于 监听 者 来 
说 也 不 是 什么 好 事 ， 很 容易 被 发 现 ， 而 且 设计 当 端口 保护 的 交换 机 可 能 会 在 超 负荷 时 强行 
关闭 所 有 端口 造成 网 络 中 断 。 所 以 现在 攻击 者 都 偏向 于 使 用 地 址 解析 协议 ARP 进 行 的 欺骗 
性 攻击 。 


ARP 实 现 机 制 只 考虑 业务 的 正常 交互 ， 对 非 正 常 业务 交互 或 恶意 行为 不 做 任何 验证 。 
比如 当主 机 收 到 ARP 响 应 包 后 , 它 并 不 会 去 验证 自己 是 否 发 送 过 这 个 ARP 请 求 ， 而 是 直接 
将 应 答 包 里 的 MAC 地 址 与 |P 对 应 的 关系 替换 掉 原 有 的 ARP 缓 存 表 。 


在 网 络 监听 过 程 中 ,攻击 者 抢先 合法 主机 B 应 答 主机 A 发 起 的 ARP 请 求 ; 主机 A 被 误导 
建立 一 个 错误 的 映射 并 保存 一 段 时 间 ， 在 这 段 时 间 内 ， 主 机 A 发 送 给 主机 B 的 信息 被 误导 
致 攻击 者 。 如 果 攻 击 者 持续 抢先 应 答 ARP 请 求 ， 数 据 流 就 可 能 被 一 直 误 导 下 去 。 如 果 攻 击 
者 模拟 网 络 出 口 路 由 器 发 动 ARP 攻 击 ， 内 部 网 络 的 所 有 出 口 信息 都 将 被 接管 。 如 果 攻 击 者 
将 出 口 路 由 器 内 和 二 个 不 存在 的 MAC 地 址 进行 映射 ， 即 可 以 导致 发 送 方 受到 拒绝 服务 的 
攻击 。 


ARP 欺 骗 不 仅仅 可 以 通过 ARP 请 求 来 实现 ， 通 过 ARP 响 应 也 可 以 实现 。 
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IP 欺 骗 攻 击 CIP Spoofing) 


。 节点 间 的 信任 关系 有 时 会 根据 IP 地 址 来 建立 
。 攻击 者 使 用 相同 的 IP 地 址 可 以 模仿 网 络 上 合法 主机 ， 访问 关键 信息 


xX 


Sniffer 


A: 192.168.0.1 192.168.0.1 B:192.168.0.6 
BOE 
sniffered . 
a 
request 
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IP 欺 骗 是 利用 了 主机 之 间 的 正常 信任 关系 来 发 动 的 。 基 于 IP 地 址 的 信任 关系 的 主机 之 
间 将 充 许 以 iP 地址 为 基础 的 验证 ， 人 允许 或 者 拒绝 以 IP 地 址 为 基础 的 存 取 服务 。 信 任 主机 之 
间 无 需 输 入 口令 验证 就 可 以 直接 登录 。 


。 IP 欺 骗 攻 击 的 整个 步骤 : 


O 400 


) 首先 使 被 信任 主机 的 网 络 暂时 瘫痪 ， 以 免 对 攻击 造成 干扰 ; 


(2) 然后 连接 到 目标 机 的 茶 介 端 口 来 猜测 序列 号 和 增加 规律 ; 





接 下 来 把 源 址 址 伪装 成 被 信任 主机 ， 发 送 带 有 SYN 标 志 的 数据 段 请 求 连接 ; 


wm 


(4) 然后 等 待 目标 机 发 送 SYN+ACK 包 给 已 经 瘫痪 的 主机 ; 
(5) 最 后 再 次 伪装 成 被 信任 主机 向 目标 机 发 送 的 ACK， 此 时 发 送 的 数据 段 带 有 预 





测 的 目标 机 的 序列 号 +1 ; 





(6) 连接 建立 7 发 送 命令 请 求 。 


Smurf 攻击 












g ICMP Echo request, g 
src=128.100.100.2 

19416912 dest = 192.168.1.255 : 

g <te.. <te.. W 





192.168.1.1 
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WS this host 


192.168.1.4 
g > S 
192.168.1.5 128.100.100.2 
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Smurf 攻 击 方法 是 发 ICMP 应 答 请 求 ， 该 请 求 包 的 目标 地 址 设置 为 受害 网 络 的 广播 地 址 
， 这 样 该 网 络 的 所 有 主机 都 对 此 ICMP 应 答 请 求 作出 答复 ， 导 致 网 络 阻塞 。 高 级 的 3murf 攻 
击 ， 主 要 用 来 攻击 目标 主机 。 方 法 是 将 上 述 ICMP 应 答 请 求 包 的 源 地 址 改 为 受害 主机 的 地 
址 ， 最 终 导 致 受害 主机 雪 毅 。 攻 击 报 文 的 发 送 需要 一 定 的 流量 和 持续 时 间 ， 才 能 真正 构成 








攻击 。 理 论 上 讲 ， 网 络 的 主机 越 多 ,= 攻击 的 效果 越 明显 。 





针对 Smurf 攻 击 ， 在 路 由 设备 上 配置 检查 ICMP 应 答 请 求 包 的 目的 地 址 是 否 为 子 网 广播 


地 址 或 子 网 的 网 络 地 址 ， 如 果 是 汇 则 直接 拒绝 。 


0 410 


ICMP 重 定 向 和 不 可 达 攻 击 


Many ICMP dest unreachable g 


flood to 192.168.1.x, Rey Attacker, 
src=128.100.100.2 controls 
A this host 





<te. 


192.168.1.2 ”| 








e 
e 
e 
v 











<... 





<eee 


192.168.1.3 


g 


192.168.1.4 


Many ICM e 
Redirect pm —_e T Daji 
Attacker 128.100.100.2 
oo 网 controls this 
host 





192.168.1.1 
e 





{23° 9 
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。 ICMP 重 定向 


ICMP 重 定向 报 文 是 ICMP 控 制 报 文中 的 一 神 。 在 特定 的 情况 下 ， 当 路 由 器 检测 到 一 全 
机 器 使 用 非 优化 路 由 的 时 候 ， 它 会 向 该 主机 发 送 一 个 CMP 重 定向 报 文 ， 请 求 主机 改变 路 由 
， 路 由 器 也 会 把 初始 数据 报 向 它 的 县 的 地 转发 。ICMP 虽 然 不 是 路 由 协议 ， 但 是 有 时 它 也 可 
以 指导 数据 包 的 流向 使 数据 流向 正确 的 网 关 ) 。ICMP 协 议 通过 ICMP 重 定向 数据 包 (类 
型 5、 代 码 0: 网 络 重 定向 ) 达到 这 站 目 的 。 

ICMP 重 定向 攻击 是 攻击 机 主动 向 受害 人 主机 发 送 ICMP 重 定向 数据 包 ， 使 受害 人 主机 
数据 包 发 送 到 不 正确 的 网 美 尖 到 攻击 的 目的 。ICMP 重 定向 攻击 既 可 以 从 局 域 网 内 发 起 
， 也 可 以 从 广域网 上 发 起 。 

针对 ICMP 重 定向 报 交 攻 击 ， 简 单 的 办 法 就 是 通过 修改 注册 表 关闭 主机 的 ICMP 重 定向 
报 文 处 理 功能 。 

。 ICMP 不 可 法 报 广 

不 同 的 系统 对 ICMP 不 可 达 报 文 类 型 为 3) 的 处 理 不 同 ， 有 的 系统 在 收 到 网 络 代码 
为 0) 或 主机 (代码 为 1) 不 可 达 的 ICMP 报 文 后， 对 于 后 续 发 往 此 目的 地 的 报 文 直接 认为 
不 可 达 \、 好 像 切断 了 目的 地 与 主机 的 连接 ， 造 成 攻击 。 

针对 ICMP 不 可 达 攻 击 ， 简 单 的 办 法 就 是 通过 修改 注册 表 关 闭 主机 的 ICMP 不 可 达 报 文 
处 理 功能 。 
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IP 地 址 扫描 攻击 


。 攻击 者 运用 ICMP 报 文 探测 目标 地 址 ， 或 者 使 用 TCP/UDP 报 文 对 一 定 
地 址 发 起 连接 ， 通 过 判断 是 否 有 应 答 报 文 ， 以 确定 哪些 目标 系统 确 
实 存活 着 并 且 连 接 在 目标 网 络 上 。 K 


22 四 了 
ezn T 







ins m 
o- Ga 
攻击 者 


| 192.168.1.1 
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IP 地 址 扫描 往往 不 是 攻击 者 最 终 目 的 。 攻 击 者 通过 IP 地 址 扫描 操作 ， 获 取 目 标 网 络 的 
拓扑 结构 和 存活 的 系统 ， 为 实施 下 一 步 攻 击 做 淮 备 。 
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ACK seq ack 
1 | 11001 | 54003 
spoofed packet from B to A 


. 
. 
a 
. 
SYN | ack | ek 
a + ad oo 
a 
. 
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TPHA IAC FET CP IEE FFE TAY A AAEN RAA SAR A SER AR 
建立 虚假 的 TCP 连 接 ， 可 能 模拟 受害 者 从 服务 器 端 获取 信息 。 具 体 过 程 与 |P 欺 骗 类 似 。 


例如 : 
l. 


0 40 


A 信任 B，C 是 攻击 者 ， 想 模拟 B 和 A 之 间 建 立 连接 。 
C 先 破坏 掉 B， 例 如 使 用 floegin,redirect, crashing 等 


2. C 用 B 的 地 址 作为 源 地 址 给 A 发 送 TCP SYN 报 文 
3. 
4.C 收 不 到 该 序列 码 3 泊 但 为 了 完成 握手 必须 用 S+1 作 为 序列 码 进行 应 答 ， 这 时 C 可 


人 回应 TCP SYN/ACK 报 文 ， 从 人 A 发 给 B， 携 带 序列 码 S 


以 通过 以 下 两 种 方法 得 到 序列 码 S: 
oC 监听 SYN/ACK 报 文 ， 根 据 得 到 的 值 进行 计算 
of/ 根据 A 操作 系统 的 特性 等 ， 进 行 猜测 
C 使 用 得 到 的 序列 码 3 回 应 A， 握 手 完成 ， 虚 假 连 接 建 立 … 





TCP 拒 绝 服 务 一 一 SYN Flood 攻 击 


@ Ç 


攻击 者 Server 


。 SYN 报 文 是 TCP 连 接 的 第 一 个 报 文 ， 攻 击 者 通过 大 量 发 送 SYN 报 文 
， 造 成 大 量 未 完全 建立 的 TCP 连 接 ， 占 用 被 攻击 者 的 资源 。 
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e SYN FLOODIN G 攻 击 特 点 : 


口 


口 


口 


口 


攻击 者 用 带 有 SYN 标 志 位 的 数据 片断 局 动 握 手 
受害 者 用 SYN-ACK 应 答 ; 
攻击 者 保持 沉默 ， 不 进行 回应 ; 


由 于 主机 只 能 支持 数量 有 限 的 TCP 连 接 处 于 half-open 的 状态 ， 超 过 该 数目 后 ， 
新 的 连接 就 都 会 被 拒绝 ; 


目前 的 解决 方法 : 关闭 处 于 Haolf Open 状态 的 连接 。 


O 450 





UDP 拒绝 服务 一 UDP Flood 攻 击 





， 导 致 服务 器 负担 过 重 而 不 能 正常 向 外 提供 服务 s 
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由 于 UDP 协议 是 无 连接 的 ， 所 以 不 能 对 其 进行 连接 状态 的 检测 。 通 过 对 UDP 报 文 进行 
主动 统计 和 学 习 ， 分 析 某 个 主机 发 送 UDR 报 美的 规律 和 特征 ， 如 果 存 在 一 人 台 主 机 大 量 发 送 
相同 、 相 似 或 以 某 种 特定 规律 变化 的 UDP 报 文 时 ， 则 将 其 认为 是 攻击 者 。 


通过 配置 对 UDP 报 文 速率 限制 ， 可 以 实现 UDP Flood 的 攻击 防范 。 


O 460 


端口 扫描 攻击 防范 


e Port Scan 攻 击 通 常 使 用 一 些 软件 ， 向 大 范围 的 主机 的 一 系列 
TCP/UDP 端 口 发 起 连接 ， 根 据 应 答 报 文 判 断 主 机 是 否 使 用 这 些 端 蝇 


提供 服务 。 


RR 






Portscan eber 


v3 


攻击 者 qeee> 
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配置 端口 扫描 攻击 防范 参数 后 ， 设 备 对 进入 的 TCP，UDP，ICMP 报 文 进行 检测 ， 并 以 
某 个 源 IP 地 址 为 索引 ， 判 断 该 源 IP 地 址 发 送 报 文 的 目的 端口 与 前 一 报 文 的 目的 端口 是 否 不 
同 ， 如 果 是 则 异常 次 数 加 1。 当 异常 频率 超过 预定 义 的 阔 值 时 ， 则 认为 该 源 |P 地 址 的 报 文 
为 端口 扫描 攻击 ， 并 将 该 源 |P 地 址 加 入 黑 名 单 。 
































0&0 


缓冲 区 溢出 攻击 


。 攻击 软件 系统 的 行为 中 ， 最 常见 的 一 种 方法 ft 

。 可 以 从 本 地 实施 ， 也 可 以 从 远 端 实施 

。 利用 软件 系统 〈 操 作 系统 ， 网 络 服务 ， 程 序 
库 ) 实现 中 对 内 存 操作 的 缺陷 ， 以 高 操作 权 
限 运 行 攻击 代码 

。 漏洞 与 操作 系统 和 体系 结构 相关 ， 需 要 攻击 
者 有 较 高 的 知识 /技巧 





Data 
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缓冲 区 是 内 存 中 存放 数据 的 地 方 。 在 程序 试图 将 数据 放 到 机 器 内 存 中 的 某 一 个 位 置 的 
时 候 ， 因 为 没有 足够 的 空间 就 会 发 生 缓冲 区 溢出 。 而 人 为 的 溢出 则 是 有 一 定 企 图 的 ， 攻 击 
者 写 一 个 超过 缓冲 区 长 度 的 字符 串 ， 植 入 到 缓冲 区 ， 然 后 再 向 一 个 有 限 空间 的 缓冲 区 中 植 
入 超 长 的 字符 串 ， 这 时 可 能 会 出 现 两 个 结果 : 一 是 过 长 的 字符 串 履 盖 了 相 邻 的 存储 单元 ， 
引起 程序 运行 失败 ， 严 重 的 可 导致 系统 骨 溃 ; 另 一 个 结果 就 是 利用 这 种 漏洞 可 以 执行 任意 
指令 ， 甚 至 可 以 取得 系统 roof 特 级 权限 。 
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针对 WEB 应 用 的 攻击 


。 常见 的 攻击 
o 对 客户 端的 
， 含 有 恶意 代码 的 网 页 ， 利 用 浏览 器 的 漏洞 ， 威 胁 本 地 系统 K 


o 对 Web 服 务 器 的 

a 利用 Apache/llS… 的 漏洞 

= 利用 CGI 实 现 语言 (PHP/ASP/Perl...) 和 实现 流程 的 漏洞 
o 通过 Web 服 务 器 ， 入 侵 数据 库 
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典型 的 WEB 应 用 由 三 层 构成 : 
。 客户 端 - 浏览 器 /Jayasrcipt/ARBplei 
。 表现 层 - HTTP Server + Server Side script 
。 业务 逻辑 和 数据 存储 层 -业务 逻辑 的 实现 和 数据 库 
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1. TCP/IP 协 议 基础 
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2，TCP/P 协 议 安全 
3. 常见 网 络 攻击 方式 
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被 动 攻击 
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主机 A 
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被 动 攻击 最 大 特点 是 对 想 窃 取信 息 进行 侦 听 党 以 获取 机 密 信息 。 而 对 数据 的 拥有 者 或 


合法 用 户 来 说 ， 对 此 类 活动 无 法 得 知 ， 所 以 被 动 攻击 主要 关注 防范 ， 而 非 检测 。 
目前 针对 此 类 攻击 行为 ， 一 般 都 是 采用 加 密 技 术 来 保护 信息 的 机 密 性 。 
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假冒 攻击 自 改 攻击 拒绝 服务 攻击 
假冒 部 位 | 数据 载荷 报 文 首部 | ALA 
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主动 攻击 主要 包括 对 业务 数据 流 报 文 首部 或 数据 载荷 部 分 进行 假冒 或 复 改 ， 以 达到 冒 
充 合法 用 户 对 业务 资源 进行 非 授 权 访 问 , 或 对 业务 资源 进行 破坏 性 攻击 。 对 于 此 类 攻击 可 
通过 对 数据 流 进行 分 析 检 测 以 给 出 技术 解决 措施 ， 最 终 保障 业务 的 正常 运行 。 比 如 数据 源 

验证 、 完 整 性 验证 、 防 拒绝 攻击 技术 等 。 
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中 间 人 攻击 





攻击 者 
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HAAKE H “ee” KUKKE AARETE E STARTA A 
RARA ARARE) ， 将 会 有 被 动 攻击 和 主动 攻击 的 特征 。 


= to 


e 信息 窃取 : 

当主 机 A 和 主机 B 进 行 数据 交互 时 ， 攻 击 者 对 信息 进行 截取 备份 一 份 ， 并 进行 数据 转发 
(可 能 只 是 进行 侦 听 ， 不 对 其 进行 转发 ) 。 这 样 攻击 者 很 容易 获取 主机 A 和 主机 B 机 密 信息 ， 
而 主机 A 和 主机 B 对 其 一 无 所 知 ; 
。 SRA: 

攻击 者 做 为 主机 A 和 主机 B 数 据 交 互 的 中 介 ， 可 能 对 主机 A 和 主机 B 来 看 以 为 他 们 之 间 
是 直接 通信 ， 其 实 他 们 之 间 通 讯 有 个 中 转 器 -攻击 者 。 此 类 攻击 ， 攻 击 者 一 般 会 往 主 机 A 和 
主机 B 之 间 数 据 流 中 插入 或 更 改 相 应 信息 ， 以 达到 其 攻击 的 目标 。 

针对 以 上 攻击 廊 式 ， 对 于 攻击 来 说 ， 一 般 会 采用 各 类 技术 以 达到 信息 截取 的 目标 ， 比 
如 DNS 欺骗 、 网 络 流 侦 听 等 。 
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总 结 


。05I 模 型 
e TCP/IP 协 议 原 理 
。TCP/P 协 议 存在 的 安全 问题 xX 


。 针对 TCP/IP 各 层 的 常见 攻击 
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思考 题 


。 为 什么 ARP 欺 骗 攻击 容易 实现 ? 

。 如 何 实现 IP 欺 骗 攻 击 ? 

e TCP 协 议 与 UDP 协议 有 何 区 别 ? xX 
。 为 什么 TCP 建 立 连接 是 三 次 握手 ， 而 断 开 连 接 是 四 次 握 年 ? 
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@ 目标 


。 FRARER, AR 
o 了 解 防火 墙 的 定义 和 分 类 
o 理解 防火 墙 的 主要 功能 和 技术 
o 掌握 防火 墙 设备 管理 的 方法 
掌握 防火 墙 的 基本 配置 


口 
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防火 墙 特征 


。 逻辑 区 域 过 滤器 
。 隐藏 内 网 网 络 结构 
。 自身 安全 保障 

。 主动 防御 攻击 
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防火 墙 技术 是 安全 技术 中 的 一 个 具体 体现 。 防 火 墙 原本 是 指 房屋 之 间 修 建 的 一 道 墙 ， 
用 以 防止 火灾 发 生 时 的 火势 蔓延 。 我 们 这 里 讨论 的 是 硬件 防火 墙 ， 它 是 将 各 种 安全 技术 融 
合 在 一 起 ， 采 用 专用 的 硬件 结构 ， 选 用 高 速 的 CPU、 骨 入 式 的 操作 系统 ， 支 持 各 种 高 速 接 
O (LAN 接 口 ) ， 用 来 保护 私有 网 络 (计算 机 ) 的 安全 ， 这 样 的 设备 我 们 称 为 硬件 防火 墙 
。 人 硬件 防火 墙 可 以 独立 于 操作 系统 =(HP-UNIX、SUN OS, AIX. NTS) 、 计 算 机 设备 ( 
IBM6000、 普 通 PC 等 ) 运行 。 它 用 来 集中 解决 网 络 安全 问题 ， 可 以 适合 各 种 场合 ， 同 时 能 
够 提供 高 效率 的 “过 滤 ”。 同 畔 它 可 以 提供 包括 访问 控制 、 身 份 验证 、 数 据 加 密 、VPN 技 
术 、 地 址 转换 等 安全 特性 , 测 户 可 以 根据 自己 的 网 络 环境 的 需要 配置 复杂 的 安全 策略 ， 阻 
止 一 些 非法 的 访问 ， 保 护 自 己 的 网 络 安全 。 


现代 的 防火 墙 体 系 不 应 该 只 是 一 个 “入 口 的 屏障 ”， 防 火 墙 应 该 是 几 个 网 络 的 接 入 控 
制 点 ， 所 有 进出 被 防火 墙 保护 的 网 络 的 数据 流 都 应 该 首先 经 过 防火 墙 ， 形 成 一 个 信息 进出 
的 关口 ， 因 此 防火 墙 不 但 可 以 保护 内 部 网 络 在 Internet 中 的 安全 ， 同 时 可 以 保护 若干 主机 在 
一 个 内 部 网 络 申 的 安全 。 在 每 一 个 被 防火 墙 分 割 的 网 络 内 部 中 ， 所 有 的 计算 机 之 间 是 被 认 
为 “可 信任 的 ”， 它 们 之 间 的 通信 不 受 防火 墙 的 干涉 。 而 在 各 个 被 防火 墙 分 割 的 网 络 之 间 
， 必 须 按照 防 炎 堵 规定 的 “策略 ”进行 访问 。 
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防火 墙 分 类 


。 按照 形态 分 为 

o 硬件 防火 墙 

o 软件 防火 墙 xX 
。 按照 保护 对 象 分 为 

o 单机 防火 墙 

o 网 络 防 火 墙 
。 按照 访问 控制 方式 分 为 

o 包 过 滤 防 火 墙 

o 代理 防火 墙 

o 状态 检测 防火 墙 
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防火 墙 发 展 至 今 已 经 历经 三 代 ， 分 类 方法 世 各 处 各 样 ， 例 如 按照 形态 划分 可 以 分 为 硬 
件 防火 墙 及 软件 防火 墙 ; 按照 保护 对 象 划分 可 以 分 为 单机 防火 墙 及 网 络 防火 墙 等 。 但 总 的 
来 说 ， 最 主流 的 划分 方法 是 按照 访问 控制 方式 进行 分 类 。 

网 络 防火 墙 ， 能 够 分 布 式 保护 整个 网 络 ， 其 特点 : 

1) 安全 策略 集中 ; 

2) 安全 功能 复杂 多 样 

3) 专业 管理 员 维护 ; 

4) 安全 隐患 小 

5) 策略 设置 复 条 。 

本 课程 重点 介绍 按照 访问 控制 方式 分 类 。 
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防火 墙 分 类 一 包 过 滤 防 火场 
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包 过 滤 是 指 在 网 络 层 对 每 一 个 数据 包 进 行 检查 ， 根 据 配 置 的 安全 策略 转发 或 丢弃 数据 
包 。 包 过 滤 防火 墙 的 基本 原理 是 : 通过 配置 访问 控制 列表 (ACL, Access Control List) 实施 
数据 包 的 过 滤 。 主 要 基于 数据 包 中 的 源 /目的 IP 地 址 、 源 /目的 端口 号 、IP 标识 和 报 文 传递 
的 方向 等 信息 。 


包 过 滤 防 火 墙 的 设计 简单 ， 非 常 易于 实现 ， 而 且 价 格 便宜 。 

包 过 滤 防 火 墙 的 缺点 主要 表现 以 下 几 点 : 

1. 随 着 ACL 复杂 度 和 长 度 的 增加 ， 其 过 滤 性 能 呈 指 数 下 降 趋 势 。 
2. 静态 的 ACL 规则 难以 适应 动态 的 安全 要 求 。 


3. 包 过 滤 不 检查 会 话 状态 也 不 分 析 数 据 ， 这 很 容易 让 黑客 蒙混 过 关 。 例 如 ， 攻 击 者 可 
以 使 用 假冒 地 址 进行 欺骗 ”通过 把 自己 主机 IP 地 址 设 成 一 个 合法 主机 IP 地 址 ， 就 能 很 轻易 
地 通过 报 文 过 滤器 。 


说 明 : ,多 通道 协议 ， 如 FTP 协 议 。FTP 在 控制 通道 协商 的 基础 上 ， 生 成 动态 的 数据 通道 
端口 ， 而 后 的 数据 交互 主要 在 数据 通道 上 进行 。 








防火 场 分 类 一 代理 防火 墙 


一 








= 





























向 防火 墙 发 送 报 文 A 
> 向 Server 发 送 报 文 A 
> 
向 防火 墙 发 送 回 应 报 文 B 
向 终端 发 送 回应 报 文 B < 
< 
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外 网 终端 代理 防火 墙 内 网 Server 
发 送 连接 请 求 
> 
对 请 求 进行 安全 检查 ， 
不 通过 则 阻 断 连接 
通过 检查 后 与 Client 建 立 连接 通过 检查 后 与 Server 建 立 连接 


xX 


W Huawei 





代理 服务 作用 于 网 络 的 应 用 层 ， 其 实质 是 把 肉 部 网 络 和 外 部 网 络 用 户 之 间 直 接 进 行 的 


业务 由 代理 接管 。 代 理 检查 来 自用 户 的 请 求 , 洞 户 通过 安全 策略 检查 后 ， 


该 防火 墙 





将 代表 


外 部 用 户 与 真正 的 服务 器 建立 连接 ， 转 发 外 部 用 户 请 求 ， 并 将 真正 服务 器 返回 的 响应 回 送 


给 外 部 用 户 。 


代理 防火 墙 能 够 完全 控制 网 络 信息 的 交换 ， 控 制 会 话 过 程 ， 具 有 较 高 的 安全 性 。 其 缺 





点 主要 表现 在 : 
1. 软件 实现 限制 了 处 理 速 度 ， 易 于 遭受 拒绝 服务 攻击 。 


需要 针对 每 一 种 协议 开发 应 用 层 代理 ， 开 发 周期 长 ， 而 且 升级 很 困难 。 


O 60 


防火 墙 分 类 一 状态 检测 防火 墙 


Host 10.0.0.1 Server 20.0.0.1 


4q— J e 


10.0.0.1 20.0.0.1 20.0.0.1 | 10.0.0.1 


状态 错误 ， 丢 弃 。” ”安全 策略 检查 
记录 会 话 信息 
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状态 检测 是 包 过 滤 技术 的 扩展 。 基 于 连接 状态 的 包 过 滤 在 进行 数据 包 的 检查 时 ， 不 仅 
将 每 个 数据 包 看 成 是 独立 单元 ， 还 要 考虑 前 后 报 文 的 历史 关联 性 。 我 们 知道 ， 所 有 基于 可 
靠 连接 的 数据 流 〈 即 基于 TCP 协 议 的 数据 流 ) 的 建立 都 需要 经 过 “客户 端 同 步 请 求 ”、“ 
服务 器 应 答 ”以 及 “客户 端 再 应 答 ”三 站 过程 〈 即 “三 次 握手 ”过 程 ) ， 这 说 明 每 个 数据 
包 都 不 是 独立 存在 的 ， 而 是 前 后 有 着 密切 前 状态 联系 的 。 基 于 这 种 状态 联系 ， 从 而 发 展 出 
状态 检测 技术 。 

。 基本 原理 简 述 如 下 


ao 状态 检测 防火 墙 使 用 管 种 会 话 表 来 追踪 激活 的 TCP (Transmission Control Protocol 
会 话 和 UDP (User Datagram Protocol) 伪 会 话 ， 由 访问 控制 列表 决定 建立 哪些 
会 话 ， 数 据 包 具 有 与 会 话 相关 联 时 才 会 被 转发 。 其 中 UDP 伪 会 话 是 在 处 理 UDP 协 
议 包 时 为 该 UBP 数 据 流 建立 虚拟 连接 (UDP 是 面 对 无 连接 的 协议 ) ， 以 对 UDP 连 
接 过 程 进行 状态 监控 的 会 话 。 
o 状态 检测 防火 墙 在 网 络 层 截获 数据 包 ， 然 后 从 各 应 用 层 提 取出 安全 策略 所 需要 的 
状态 信息 ， 并 保存 到 会 话 表 中 ， 通 过 分 析 这 些 会 话 表 和 与 该 数据 包 有 关 的 后 续 连 
接 请 求 来 做 出 恰当 决定 。 
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防火 墙 分 类 一 状态 检测 防火 墙 


Host 10.0.0.1 Server 20.0.0.1 


g— B- Je 


10.0.0.1 20.0.0.1 | rcsw | 20.0.0.1 | 10.0.0.1 | acrAckTce syn | 


状态 错误 ， 丢弃 安全 策略 检查 
记录 会 话 信息 
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。 状态 检测 防火 墙 具 有 以 下 优点 : 


o 后 续 数据 包 处 理性 能 优异 : 状态 检测 防火 墙 对 数据 包 进行 ACL 检查 的 同时 ， 可 以 
将 数据 流连 接 状态 记录 下 来 , 该 数据 流 中 的 后 续 包 则 无 需 再 进行 ACL 检 查 ， 只 需 
根据 会 话 表 对 新 收 到 的 报 文 进行 连接 记录 检查 即 可 。 检 查 通过 后 ， 该 连接 状态 记 
录 将 被 刷新 ， 从 而 避免 重复 检查 具有 相同 连接 状态 的 数据 包 。 连 接 会 话 表 里 的 记 
录 可 以 随意 排列 ， 与 记录 固定 排列 的 ACL 不 同 ， 于 是 状态 检测 防火 墙 可 采用 诸如 
二 叉 树 或 哈 希 (Hash) 等 算法 进行 快速 搜索 ， 提 高 了 系统 的 传输 效率 。 


o 安全 性 较 高 : 连接 状态 清单 是 动态 管理 的 。 会 话 完成 后 防火 墙 上 所 创建 的 临时 返 
回报 文 入 口 随即 关闭 ， 保 障 了 内 部 网 络 的 实时 安全 。 同 时 ， 状 态 检测 防火 墙 采用 
实时 连接 状态 监控 技术 ， 通 过 在 会 话 表 中 识别 诸如 应 答 响应 等 连接 状态 因素 ， 增 
强 了 系统 的 安全 性 。 
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防火 墙 硬件 平台 分 类 





LEZA 
新 一 代 的 硬件 平台 。 
| 多 核 方案 ， 更 高 的 集 
加 Ne 
— oP 成 度 、 更 高 效 的 核 间 X 
网 络 处 理 器 是 专门 | 通信 和 管理 机 制 。 
BASIC 
ee up ae | MADR a TR 
硬件 集成 电路 ， 它 的 可 编程 处 理 器 ， 是 
把 指令 或 计算 逻辑 固 和 
ie ony a. [X86 与 ASIC 之 间 的 折 
化 到 硬件 中 ， 获 得 高 AIX f 
’ 处 理 能 力 ， 提 升 防火 
， 受 CPU 处 理 能 力 
和 PCI 总 线 速度 的 限 
制 







intel X86 











— 防火 境 便 件 平 人 








Copyright © 2013 Huawei Technologies Co., Ltd. All rights reserved. Page 9 Ws HUAWEI 


~ 





防火 墙 的 硬件 平台 发 展 至 今 ， 大 致 可 以 划分 为 通用 CPU 架 构 、 专 用 集成 电路 (ASIC, 
Application Specific Integrated Circwit) 架构 、 网 络 处 理 (NP, Network Processor) 
架构 以 及 多 核 处 理 器 架构 。 下 面 我 们 将 一 一 进行 介绍 。 


。 通用 CPU 架 构 


通用 CPU 架 构 是 基于 X86 平台 ， 使 用 一 颗 主 CPU 来 处 理 业务 的 架构 。 网 卡 芯 片 与 CPU 
使 用 PCI 总 线 进行 数据 的 传输 %C 传 统 32 位 PC 总线 ， 网 卡 芯 片 与 CPU 之 间 的 数据 传输 速率 
理论 上 可 以 达到 1056Mbits/S% 理论 上 满足 干 兆 防火 墙 的 需要 。 但 是 X86 平台 使 用 的 是 共享 
总 线 的 一 种 架构 ， 因 此 如 果 有 两 块 网 卡 同时 传输 数据 ， 则 平均 下 来 每 块 网 卡 只 能 获得 528 
Mbits/s 的 速率 。 网 卡 数量 越 多 ， 获 得 的 速率 就 越 低 ， 并 且 只 要 超过 一 块 网 卡 ， 速 率 就 低 
于 1000Mbits/s。 另 外 ,基于 X86 平台 的 架构 ， 其 线程 调度 机 制 是 采用 中 断 方式 来 实现 的 ， 
因此 当 网 络 中 出 现 大 量 数据 小 包 时 ， 与 大 包 相 比 ， 相 同 的 流量 将 产生 更 多 的 中 断 ， 此 时 防 
火 墙 的 吞吐 量 就 内 有 20% 左 右 ， 并 且 CPU 占 用 率 非 常 高 。 因 此 实际 上 这 种 基于 X86 平台 的 
架构 就 无 法 满足 千 兆 防火 墙 的 需要 ， 只 适合 作为 百 焰 防火 墙 的 硬件 平台 方案 。 

随 着 硬件 技术 的 发 展 ， 后 来 Intel 针 对 PCI 总 线 提出 一 种 新 的 解决 方案 一 一 PCIl-Express 
。PCL-E 的 主要 优势 就 是 数据 传输 速率 高 ， 目 前 最 高 可 达到 10GB/s 以 上 。X86 平 台 使 用 
PCIzE 技 术 后 ， 数 据 传 输 速率 已 经 可 以 满足 干 兆 防火 墙 的 要 求 ， 但 是 其 中 断 机 制 对 整 机 处 
理 速 率 的 影响 仍然 存在 ， 因 此 X86 采 用 PCI-E 技 术 后 仍 有 很 大 的 问题 需 改 进 。 
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e ASIC 架 构 


相 比 之 下 ， 基 于 ASIC 架 构 的 防火 墙 从 架构 上 改进 了 中 断 机 制 。ASIC 设 计 专 门 的 ASIC 莫 
片 对 数据 进行 加 速 处 理 ， 并 且 将 指令 以 及 算法 直接 固化 到 芯片 中 。 数 据 从 网 卡 收 到 以 后 ， 
不 经 过 主 CPU 处 理 ， 而 是 经 过 集成 在 网 卡 上 的 AsIC 芯 片 ， 通 过 AsIC 忆 片 直接 对 数据 进行 处 
理 并 转发 。 这 样 ， 数 据 就 并 非 全 部 需要 通过 主 CPU 来 处 理 ， 芯 片 处 理 也 不 采用 中 断 机 制 ， 
自然 可 以 明显 提高 了 防火 墙 的 处 理性 能 。 


但 ASIC 也 有 它 自己 的 短 板 ， 就 是 它 的 灵活 性 及 扩展 性 非常 差 。ASIC 架 构 愉 自 采用 的 是 
芯片 ， 然 而 芯片 的 开发 非常 困难 ， 能 够 处 理 的 业务 也 非常 有 限 ， 面 对 应 用 圾 汾 复 杂 的 网 络 
时 ，ASIC 架 构 明 显 无 法 胜任 。 


。 NP 架构 


NP 架 构 可 以 说 是 CPU 方案 与 AsIC 方 案 的 一 个 折衷 方案 ， 它 在 每 块 网 卡 上 使 用 了 一 个 网 
络 处 理 器 。 网 络 处 理 器 是 专门 为 网 络 设备 处 理 网 络 流量 而 设计 的 处 理 器 。NP 与 X86 架构 相 
比 ， 在 性 能 上 有 着 明显 的 优势 。 但 网 络 处 理 器 微 码 编程 还 是 不 够 灵活 ， 功 能 的 扩展 仍然 受 
到 一 定 程度 的 限制 ; 与 ASIC 相 比 ， 由 于 处 理 流程 对 软件 一 定 程度 上 的 依赖 ， 因 而 转发 性 能 
也 EEASIC 稍 弱 。 


。 多 核 架 构 


从 上 面 可 以 看 出 ， 通 用 CPU 架 构 、NP 架 构 以 及 ASIC 架 构 各 有 优 缺 点 。 多 核 架构 的 出 现 
极 大 地 缓和 了 这 些 矛盾 。 多 核 架 构 中 每 一 个 核 都 是 一 个 通用 CPU， 相 对 于 多 CPU 方 案 提 供 
了 更 高 的 集成 度 、 更 高 效 的 核 间 通信 和 管理 机 制 。 少 量 的 核 完成 管理 功能 ， 大 多 数 核 完成 
例 行 的 业务 处 理 功能 。 有 些 CPU 通 过 协 处 理 器 来 实现 加 解密 ， 而 且 由 于 可 以 采用 Cc 编程 ， 功 
能 扩展 不 受 控 制 ， 平 台 可 以 实现 VPN 加 解密 防火 墙 、UTM 等 业务 而 不 影响 相应 性 能 。 


多 核 作 为 新 一 代 的 硬件 平台 ， 对 软件 开发 技术 的 要 求 非常 高 ， 如 何 有 效 实现 和 发 挥 多 
核 技术 的 优势 ， 是 基于 多 核 硬件 平台 进行 产品 开发 的 巨大 挑战 。 对 这 种 基于 多 核 硬件 平台 
的 防火 墙 ， 华 为 防火 墙 融合 形 许 多 技术 优势 ， 更 完美 地 利用 多 核 技术 ， 如 多 核 操 作 系统 
SOS (Security Operation System) 。 多 核 处 理 器 有 强大 的 并 行 处 理 能 力 和 I/O 能 力 ， 硬 件 畏 
助 数据 报 文 调度 能 力 ， 但 是 通用 的 操作 系统 在 CPU 内 核 数量 增加 的 情况 下 ， 效 率 下 降 很 快 
。5SO05 系 统 高 效 、 稳 定 、 安 全 ， 适 合作 为 高 性 能 网 络 转发 、 安 全 业务 开发 平台 ， 支 持 高 
的 报 文 调度 ， 并 发 处 理 ,最 大 程度 的 提高 多 核 CPU 的 利用 率 。 
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防火 二 层 以 大 网 接口 


。 组 网 特点 
o 对 网 络 拓扑 透明 
= 不 需要 更 改组 网 


192.168.40:1/30 









Untrust 


Trust 





192,168.10.2/30 
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在 此 组 网 方式 下 ， 防 火 墙 只 进行 报 文 转发 ， 不 能 进行 路 由 寻 址 ， 与 防火 墙 相 连 两 个 业 
务 网 络 必须 在 同一 个 网 段 中 。 此 时 防火 墙 上 下 行 接口 均 工 作 在 二 层 ， 接 口 无 IP 地 址 。 


防火 墙 此 组 网 方式 可 以 避免 改变 拓扑 结构 造成 的 麻烦 ， 只 需 在 网 络 中 像 放置 网 桥 ( 


Bridge) 一 样 串 入 防火 墙 即 可 ， 无 需 修 改 任何 已 有 的 配置 。IP 报 文 同 样 会 经 过 相关 的 过 滤 
检查 ， 内 部 网 络 用 户 依旧 受到 防火 墙 的 保护 。 
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~ 

















三 层 以 太 网 接口 


防火 墙 组 网 方式 
。 组 网 特点 


o 支持 更 多 安全 特性 
o 对 网 络 拓 扑 有 所 影响 


192.168.10.1/30 l A 192.168,10.129/30 
N\A i] 
~ 


192.168.10.133/30 






































192.168.10.5/30 
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在 此 组 网 方式 时 ， 防 火 墙 位 于 内 部 网 络 和 外 部 网 络 之 间 时 ， 与 内 部 网 络 、 外 部 网 络 相 
连 的 上 下 行业 务 接口 均 工作 在 三 层 ， 需 要 分 别 配 置 成 不 同 网 段 的 IP 地 址 ， 防 火 墙 负责 在 内 
部 网 络 、 外 部 网 络 中 进行 路 由 寻 址 ， 相 当 玫 路 由 器 。 

此 组 网 方式 ， 防 火 墙 可 支持 更 多 的 安全 特性 ， 比 如 NAT 、UTM 等 功能 ， 但 需要 修改 原 


网 络 拓扑 ， 例 如 ， 内 部 网 络 用 户 需要 更 改 网 关 ， 或 路 由 器 需要 更 改 路 由 配置 等 。 因 此 ， 做 
为 设计 人 员 需 综合 考虑 网 络 改造 、 业 务 中 断 等 因素 。 
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什么 是 安全 区 域 ? 


。 安全 区 域 (Security Zone) ， 或 者 简称 为 区 域 (Zone) 。 
o Zone 是 本 地 逻辑 安全 区 域 的 概念 。 
a Zone 是 一 个 或 多 个 接口 所 连接 的 网 络 。 xX 


g “Untrust Das << 
ony 


一 
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e Zone 的 作用 


口 


口 
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安全 策略 都 基于 安全 区 域 实施 

在 同一 安全 区 域内 部 发 生 的 数据 流动 是 不 存在 安全 风险 的 ， 不 需要 实施 任何 安全 
策略 。 

只 有 当 不 同安 全 区 域 之 间 发 生 数据 流动 时 ， 才 会 触发 设备 的 安全 检查 ， 并 实施 相 
应 的 安全 策略 。 


在 防火 墙 中 ， 同 下 全 接口 所 连 网 络 的 所 有 网 络 设备 一 定位 于 同一 安全 区 域 中 ， 而 
一 个 安全 区 域 可 以 包含 多 个 接口 所 连 的 网 络 。 















防火 墙 安全 区 域 分 类 


。 缺 省 安全 区 域 
o” 非 受信 区 域 Untrust 


, ISP A 
o 非 军事 化 区 域 DMZ DR $ 


受信 区 域 | ; 
o 受信 区 域 Trust BERZE. ont lL 
o ”本 地 区 域 Local “ Ao pe 
、 Web 服 务 器 pmz™®- i SB 
。 用 户 自 定义 安全 区 域 iq 1 


a User Zone 1 


PS ee B = < De ness 
o User Zone 2 í DBR ~ Ag. 5 L 17 

h Bp: SN ERP 数 据 服务 器 

Trust ns} i s 


O 〇 A 服务 器 
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防火 墙 支持 多 个 安全 区 域 ， 缺 省 支持 非 受信 区 域 (Untrust) 、 非 军事 化 区 域 (DMZ) 
、 受 信 区 域 (Trust) 、 本 地 区 域 (Localh 四 种 预定 义 的 安全 区 域外 ， 还 支持 用 户 自 定义 
安全 区 域 。 


防火 墙 缺 省 保留 的 四 个 安全 区 域 相 关 说 明 如 下 : 

o 非 受信 区 域 Untrust: 低 安 全 级 别 的 安全 区 域 ， 安 全 级 别 为 5。 

o 非 军 事 化 区 域 DMZz: 中 等 安全 级 别 的 安全 区 域 ， 安 全 级 别 为 50。 
o 受信 区 域 Trust:, 较 高 安全 级 别 的 安全 区 域 ， 安 全 级 别 为 85。 

o 本 地 区 域 Local: 最 高 安全 级 别 的 安全 区 域 ， 安 全 级 别 为 100。 


这 四 个 安全 区 域 无 需 创 建 ， 也 不 能 删除 ， 同 时 各 安全 级 别 也 不 能 重新 设置 。 安 全 级 别 
用 1 ~ 100 的 数字 表示 数字 越 大 表示 安全 级 别 越 高 。 


需要 注意 的 是 ， 将 接口 加 入 安全 区 域 这 个 操作 ， 实 际 上 意味 着 将 该 接口 所 连 网 络 加 入 
到 安全 区 域 中 ， 而 该 接口 本 身 仍然 属于 系统 预 留用 来 代表 设备 本 身 的 Local 安 全 区 域 。 


USG 防 火 墙 最 多 支持 32 个 安全 区 域 。 
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防火 墙 安全 区 域 与 接口 关系 


。 安全 区 域 与 接口 关系 








o 防火 墙 是 否 存在 两 个 具有 完全 相同 安全 级 别 的 安全 区 域 ? 
。 防火 墙 是 否 允许 同一 物理 接口 分 属于 两 个 不 同 的 安全 区 域 ? © 
o 防火 墙 的 不 同 接口 是 否 可 以 属于 同一 个 安全 区 域 ? 
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在 防火 墙 中 是 以 接口 为 单位 来 进行 分 类 ， 即 同一 个 接口 所 连 网 络 的 所 有 了 网络 设 备 一 定 
位 于 同一 安全 区 域 中 ， 而 一 个 安全 区 域 可 以 包含 多 个 接口 所 连 的 网 络 。 这 里 的 接口 既 可 以 
是 物理 接口 ， 也 可 以 是 逻辑 接口 。 所 以 可 以 通过 子 接口 或 者 VLAN IF 等 逻辑 接口 实现 将 同一 
物理 接口 所 连 的 不 同 网 段 的 用 户 划 入 不 同安 全 区 域 的 功能 。 

思考 : 

1) 若 不 同 接口 均 属 于 同方 个 安全 区 域 的 场景 下 ， 域 间 安 全 转发 策略 


i=! ay D 
是 否 会 生效 ? 


0 40 


防火 墙 安 全 区 域 的 方向 


e Inbound 与 Outbound 定 义 
o 什么 是 Inbound? 


o 什么 是 Outbound? x 


Trust 区 域 7 outbond n 








高 低 
安 —_ 安 
3 - Ge): 
>/ 级 
7S Inbound Untrust 区 域 别 
企业 内 网 
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两 个 安全 区 域 之 间 (简称 安全 域 间 ) 的 数据 流 分 两 个 方向 : 
e 入 方向 (inbound) : 
数据 由 低 安全 级 别 的 安全 区 域 向 高 安全 级 别 的 安全 区 域 传输 的 方向 ; 
e 出 方向 (outbound) : 
数据 由 高 安全 级 别 的 安全 区 域 向 低 安全 级 别 的 安全 区 域 传输 的 方向 ; 
高 优先 级 与 低 优先 级 是 相对 的 。 
不 同安 全 级 别 的 安全 区 域 间 的 数据 流动 都 将 激发 USG 防 火 墙 进行 安全 策略 的 检查 。 可 


以 事先 为 同一 安全 域 间 的 不 同方 向 设置 不 同 的 安全 策略 ， 当 有 数据 流 在 此 安全 域 间 的 两 个 
不 同方 向 上 流动 时 入 将 触发 不 同 的 安全 策略 检查 。 
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防火 墙 多 业务 功能 


rs + FE, GE 
交换 .VLAN 
。 Trunk,802.1ad 


a m] 
VPN 安全 
: EL X 
| NAT 
+ VPN:L2TP/EREyibse 
c/SSL/ MPLS 
+ P2P/IM 


















44, — 
si + WiFi UTM 
e SNMPv2v3 * 802.1lbg . AV 
* RMON | 。PPP PS 
e TRO69 + PPPoE * 反 垃圾 邮件 
+ Telnet/SSL/HTTP(sIWLAN/WWAN .+ ADSL2+ 。URL 过 滤 
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防火 墙 支持 以 下 特性 : 
o 路 由 


=» IPv4 路 由 和 IPv6 路 由 
。 支持 静态 路 由 
= 支持 RIP、OSPF、BGP、SIS 等 动态 路 由 
" 支持 路 由 策略 和 路 由 翅 代 
o 统一 管理 
» SNMP 
» Web 管理 
= NIP 
o Ethernet 
w、 支 持 二 层 、 三 层 以 太 网 接口 。 支 持 二 层 、 三 层 以 太 网 接口 之 间 互 相 切 换 
= Eth-Trunk 和 VLAN 
os 安全 
TUTM (统一 威胁 管理 ) 
5 接 入 技术 
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防火 墙 主要 功能 一 访问 控制 
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防火 墙 的 主要 功能 是 策略 (policy) FAL Cmechanism) 的 集合 ， 它 通过 对 流 经 数据 
流 的 报 文 头 标识 进行 识别 ， 以 允许 合法 数据 流 对 特定 资源 的 授权 访问 ， 从 而 防止 那些 无 权 
访问 资源 的 用 户 的 恶意 访问 或 偶然 访问 。 


实现 访问 控制 的 主要 工作 过 程 如 下 : 


1. 对 于 需要 转发 的 报 文 ， 防 火 墙 完 获取 报 文 头 信息 ， 包 括 IP 层 所 承载 的 上 层 协 议 的 协 
议 号 、 报 文 的 源 地 址 、 目 的 地 起 、 源 端口 号 和 目的 端口 号 


2. 将 报 文 头 信息 和 设 定 的 访问 控制 规则 进行 比较 。 
3. 根据 比较 结果 ， 按 照 访问 控制 规则 设 定 的 动作 ， 人 允许 或 拒绝 对 报 文 的 转发 。 
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防火 墙 基本 功能 一 深度 检测 技术 


。 基 于 特征 字 的 识别 技术 
。 基 于 应 用 层 网 关 识别 技术 
。 基 于 行为 模式 识别 技术 xX 
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深度 报 文 检测 (DPI, Deep packet inspection)” 是 相对 普通 报 文 分 析 而 言 的 一 种 新 技术 
， 普 通报 文 检测 仅仅 分 析 IP 包 的 四 层 以 下 的 内 容 ， 包 括 源 地 址 、 目 的 地 址 、 源 端口 、 目 的 
端口 以 及 协议 类 型 ， 而 DPI 则 在 此 基础 上 , 暗 加 了 对 应 用 层 的 分 析 ， 可 识别 出 各 种 应 用 及 
其 内 容 。 


针对 不 同 的 协议 类 型 ， 识 别 技术 气 般 可 划分 为 以 下 三 类 。 
。 基于 特征 字 的 识别 技术 


不 同 的 应 用 通常 会 采用 不 同 的 协议 ， 而 各 种 协议 都 有 其 特殊 的 指纹 ， 这 些 指纹 可 能 是 
特定 的 端口 、 特 定 的 字符 串 或 者 特定 的 Bit 序 列 。 基 于 特征 字 的 识别 技术 ， 正 是 通过 识别 数 
据 报 文中 的 指纹 信息 来 确定 业务 流 所 承载 的 应 用 。 

。 基于 应 用 层 网 关 误 别 技术 

我 们 知道 / 有 一 类 业务 的 控制 流 与 业务 流 是 分 离 的 ， 其 业务 流 没 有 任何 特征 。 例 如 ， 
SIP、H323 协 议 都 属于 这 种 类 型 的 协议 。SIP、H323 通 过 信念 交互 过 程 ， 协 商 得 到 其 数据 ; 
道 ， 一 般 是 RIP 格式 封装 的 语音 流 。 也 就 是 说 ， 纯 粹 检测 RTP 流 并 不 能 确定 这 条 RTP 流 是 
过 哪 种 协议 建立 起 来 的 ， 只 有 通过 检测 SIP 或 H323 的 协议 交互 ， 才 能 得 到 其 完整 的 分 析 。 
。 基于 行为 模式 识别 技术 

在 实施 行为 模式 识别 技术 之 前 ， 必 须 首 先 对 终端 的 各 种 行为 进行 研究 ， 并 在 此 基础 上 
建立 起 行为 识别 模型 。 从 E-mail 的 内 容 看 ， 垃 圾 邮件 (SPAM) 业务 流 发 送 邮 件 的 速率 、 目 
的 邮件 地 址 数目 、 变 化 频率 等 参数 ， 建 立 起 行为 识别 模型 ， 并 以 此 分 拣 出 垃圾 邮件 。 














a (aN 
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SACG 联 动 技 术 


。 Agent: 客户 端 代理 

。 SACG: 安全 接 入 控制 网 关 
。 SM: 管理 服务 器 

。 SC: 控制 服务 器 
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安全 接 入 控制 网 关 (Security Access Control Gateway， 简 称 SACG) : 控制 终端 的 网 络 访 
问 权 限 ， 对 不 同 的 用 户 ， 不 同安 全 状况 的 用 户 和 开放 不 同 的 权限 。 由 SC 控制 服务 器 对 终端 进 
行 认证 ， 并 把 结果 通知 SACG，SACG 根 据 UCL 策 略 决定 终端 的 访问 权限 ， 防 止 外 部 用 户 访 
问 企业 内 部 网 络 ， 防 止 内 部 合法 但 不 安全 用 户 连接 到 企业 网 络 进一步 感染 公司 网 络 。 

以 SACG 接 入 设备 为 参考 点 ， 内 部 网 络 划 分 为 主要 的 三 个 逻辑 区 域 : 

接 入 区 域 : 接 入 区 域 由 一 组 客户 端 组 成 ， 这 些 客户 端 安装 了 TSM 代 理 Agent， 通 过 二 层 
交换 或 者 三 层 交 换 组 成 一 个 本 地 网 络 ; 

认证 前 域 : 认证 前 域 是 一 个 逻辑 区 域 ， 通 过 对 SACG 进 行 ACL 配 置 ， 可 以 确保 用 户 在 获得 
接 入 授权 之 前 ， 只 能 访问 ACL 指 定 的 网 络 或 者 主机 。 终 端 安 全 管理 系统 的 认证 前 域 主要 包 
括 SM 管 理 服 务 器 、 人 SC 控制 服务 器 、AD 域 管理 服务 器 、 防 病毒 服务 器 、 补 丁 服务 器 等 ; 

认证 后 域 : 雇 证 后 域 是 一 个 逻辑 区 域 ， 与 认证 前 域 相对 应 。 通 过 对 SACG 进 行 配 置 ， 当 
用 户 获 得 业务 授权 后 》 就 可 以 访问 认证 后 域 的 业务 资源 。 比 如 OA 业务 服务 器 、ERP 业 务 服 
务 器 、 财 务 服务 器 等 ; 
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双 机 热 备 技术 


。 BETAS MIRE 
。 统一 设备 上 所 有 接口 的 主 备 状态 
。 同步 防火 墙 之 间 会 话 信息 即 配置 信息 Xx 


主 防火 墙 







UNTRUST 域 


3 服 多 器 


TRUST 域 


< hh 








内 部 网 络 外 部 网 络 
10.110.1.0/24 202.,.10.0.0/24 
备 防火 墙 
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通常 ， 内 部 网 络 的 主机 都 配置 一 条 缺 省 路 由 个 一 跳 为 出 口 路 由 器 的 接口 IP 地 址 。 内 
外 部 用 户 的 交互 报 文 全 部 通过 Router。 如 果 Reuter 出 现 故 障 ， 内 部 网 络 中 所 有 以 Router 
为 缺 省 路 由 下 一 跳 的 主机 与 外 部 网 络 之 间 的 通讯 将 中 断 ， 通 讯 可 靠 性 无 法 保证 。 

虚拟 路 由 宛 余 协议 (VRRP, Virtual Router Redundancy Protocol) 将 局 域 网 的 一 组 
路 由 器 组 织 成 一 个 虚拟 路 由 器 ， 称 交 为 一 个 备份 组 。 其 中 ， 仅 有 一 台 设 备 处 于 活动 状态 ， 
称 为 主 用 设备 (Master) ; 其 余 设备 都 处 于 备份 状态 。 

借助 YGMP 机 制 ， 可 以 实现 对 多 个 VRRP 备 份 组 的 状态 一 致 性 管理 、 抢 占 管理 和 通道 
管理 等 ， 保 证 一 台 防 火 墙 目的 接口 同时 处 于 主 用 或 备用 状态 ， 实 现 防 火 墙 防火 墙 VRRP 状 
态 的 一 致 性 。 

另外 ， 启 动 HRR 功 能 后 ，Master 和 Backup 设 备 之 间 将 实时 同步 关键 配置 命令 和 会 话 
表 状 态 信息 。 如 果 Master 设 备 发 生 故 障 ， 导 致 VRRP 管 理 组 状态 改变 ， 引 起 VRRP 备 份 组 抢 
占 ， 从 而 实现 Backup 设 备 平滑 地 接替 工作 。 


详细 了 内容 将 在 后 面 章节 进行 详细 介绍 。 
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IP Link 技 术 


OF 


， 运 营 商 A 





。 |IP-Link 自 动 侦 测 的 侦 测 结果 可 以 被 其 他 特性 所 引用 从 主要 应 
用 包括 : 
o ”应 用 在 静态 路 由 中 
o ”应 用 在 双 机 热 备份 中 
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。 ” 链 路 可 达 检 测 功 能 


IP-Link 自 动 侦 测 是 利用 ICMP 或 者 ARP 协 议 的 特征 对 业务 链 路 正常 与 否 进行 的 自动 侦 测 
。 它 定时 地 向 指定 的 目的 IP 地 址 发 送 ISMP 或 者 ARP 请 求 ， 等 待 相应 目的 |P 地 址 的 回应 ， 根 
据 回应 的 情况 判断 网 络 的 连通 状况 。 


如 果 在 设 定 的 时 限 内 未 收 到 回应 报 文 ， 则 认为 链 路 发 生 故 障 ， 并 进行 后 续 相 应 的 操作 
。 当 原来 认为 发 生 故 障 的 链 路 了 在 之 后 设 定 的 时 限 内 ， 有 连续 3 个 回应 报 文 返回 ， 则 认为 
发 生 故 障 的 链 路 已 经 恢复 正常 ， 此 后 进行 链 路 恢复 的 相关 操作 。 

IP-Link 自 动 侦 测 的 侦 测 结果 (目的 主机 可 达 或 者 不 可 达 ) 可 以 被 其 他 特性 所 引用 ， 主 
要 应 用 包括 : 

o 应 用 在 静态 路 由 中 

当 IP-Link 侦 测 出 链 路 不 可 达 时 ， 防 火 墙 会 对 自身 的 静态 路 由 进行 相应 的 调整 。 如 原来 
高 优先 级 的 静态 路 由 所 经 链 路 被 检测 到 发 生 故 障 ， 防 火 墙 会 选择 新 的 链 路 进行 业务 转发 。 
如 果 高 优先 级 的 静态 路 由 链 路 故障 恢复 正常 时 ， 防 火 墙 又 会 进行 静态 路 由 的 调整 ， 用 高 优 
先 级 的 路 由 替换 低 优先 级 的 路 由 ， 保 证 每 次 用 到 的 链 路 是 最 高 优先 级 的 并 且 是 可 达 的 ， 以 
保持 业务 的 持续 进行 。 

Ps 应 用 在 双 机 热 备 份 中 

当 IP-Link 侦 测 出 链 路 不 可 达 时 ， 防 火 墙 会 对 自身 VGMP 的 优先 级 进行 相关 调整 ， 引 发 主 
备 切 换 ， 从 而 保证 业务 能 够 持续 流通 。 
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QoS 技术 


端 到 端的 流量 控制 


E Q 9 =s 


BEE) 分 类 miai. 拥塞 监管 — HREH a ie 


提供 业务 质量 保障 
提高 客户 服务 满意 程度 


保证 资源 利用 最 大 化 ， 全 面 提升 服 务 质量 
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QoS 提 供 的 主要 的 流量 管理 技术 包括 ROR 流量 监管 、 Se 理 和 拥 
塞 避免 是 实现 有 区 别 地 实施 服务 的 基础 ,它们 宇 要 完成 如 下 功能 


。 流 分 类 依据 一 定 的 匹配 规则 识别 出 对 象 ， 是 有 区 别 地 实施 服务 的 前 提 。 
。 流量 监管 对 进入 网 络 的 特定 流量 的 规格 进行 监管 。 当 流量 超出 规格 时 ， 可 以 采取 
限制 或 惩罚 措施 ， 以 保护 客户 的 商业 利益 和 网 络 资源 不 受 损害 。 


° 流量 整形 限制 从 某 一 网 络 流出 的 某 一 连接 的 流量 ， 使 这 一 流量 的 报 文 以 比较 均匀 
的 速度 向 外 发 送 ， 是 一 种 主动 调整 流量 输出 速率 的 措施 。 


。 拥塞 管理 是 一 种 当 和 塞 发 生 时 制定 资源 的 调度 策略 从 而 决定 报 文 转发 时 的 处 理 次 
序 的 机 制 ,主要 调度 策略 包括 FHIFO、CQ、PQ、WFQ、RTP 等 队列 。 
说 明 : ”对 于 三 层 接 口 ，USG5500 只 有 在 接口 上 配置 了 接口 限 速 功能 后 ， 接 口上 的 队列 
功能 才 会 生效 yY 基于 类 的 WRR 功 能 不 受 该 限制 。 
。 拥塞 避免 是 指 通过 监视 网 络 资源 (如 队列 或 内 存 缓冲 区 ) 的 使 用 情况 ， 在 拥塞 有 


加 剧 的 趋势 时 ， 主 动 丢 弃 报 文 ， 通 过 调整 网 络 的 流量 来 解除 网 络 过 载 的 一 种 流 控 
机 制 。 


0 830 


防火 墙 日 志 审计 











vee 
志 流 传输 








可 收集 网 络 中 所 
有 通过 该 设备 的 
日 志 





企业 内 网 用 户 


。 配合 eLog 日 志 软 件 ， 可 以 为 用 户 提供 清晰 网 络 日 志和 访问 记录 。 








Copyright © 2013 Huawei Technologies Co., Ltd. All rights reserved. Page 25 w HUAWEI 


Elog 是 华为 防火 墙 专用 的 日 志 软 件 ， 可 以 支持 通用 的 Syslog 日 志和 二 进 制 日 志 。 
e Syslog 日 志 

像 普通 系统 日 志 以 及 流 i 量 监控 日 志 ( 除 DPI 流 量 监控 日 志 外 ) 采用 Syslog 方 式 以 文本 格 
式 进行 输出 。 这 些 日 志 信 息 必 须 通 过 信息 中 心志 进行 志 管 理 和 输出 重 定向 ， 然 后 显示 
在 终端 屏幕 上 ， 或 者 发 送 给 日 志 主机 进行 存储 和 分 析 。 
。 二 进 制 日 志 

像 会 话 日 志 中 NATAS 嗅 产生 的 日 志 、DPI 流 量 监控 日 志 ， 对 于 这 种 类 型 的 日 志 提供 了 


一 种 “二 进 制 ” 输 出 方式 , 汗 接 输出 到 二 进 制 日 志 主 机 以 便 对 日 志 进行 存储 和 分 析 ， 无 需 
言 息 中 心 模块 的 参与 。 
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攻击 防 汇 


。 网 络 攻击 主要 分 为 四 大 类 : 
o 流量 型 攻击 
o 扫描 帘 探 攻击 xX 
= 崎 形 报 文 攻击 












o 特殊 报 文 攻击 OD) packets ce A 
Attacker 0 a A JS w ) 
: Se De - < T 
— EN 
受害 主机 
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。 流量 型 攻击 


流量 型 攻击 是 指 攻击 者 通过 大 量 的 无 用 数据 占用 过 多 的 资源 以 达到 服务 器 拒绝 服务 的 
目的 。 


。 扫描 帘 探 攻击 
扫描 帘 探 攻击 主要 包括 iP 地址 扫描 和 端口 扫描 ， 从 而 准确 的 发 现 潜在 的 攻击 目标 。 
。 上 畸形 报 文 攻击 


畸形 报 文 攻击 是 指 通 过 向 目标 系统 发 送 有 缺陷 的 IP 报 文 。 主 要 的 畸形 报 文 攻击 有 Ping of 
Death、Teardrop 等 。 


。 特殊 报 文 攻击 


特殊 报 文 攻击 是 指 攻 击 者 利用 一 些 合法 的 报 文 对 网 络 进行 侦察 或 者 数据 检测 ， 这 些 报 
文 都 是 合法 的 应 用 类 型 ， 只 是 正常 网 络 很 少 用 到 。 









































立 
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防火 墙报 文 统计 


© 报 文 统计 
o 对 于 防火 墙 来 说 ， 不 仅 要 对 数据 流量 进行 监控 ， 还 要 对 内 外 部 网 络 之 间 的 连接 发 
起 情况 进行 检测 ， 因 此 要 进行 大 量 的 统计 、 计 算 与 分 析 。 Q 


。 防火 墙 对 报 文 统计 结果 的 分 析 有 如 下 两 个 方面 : 
oa 专门 的 分 析 软 件 事后 分 析 日 志 信息 。 
o 防火 墙 实时 完成 一 部 分 分 析 功能 。 


系统 统计 信息 
ABH 好 已 开启 报 文 统计 





会 话 统计 (单位 : 


80 asc: 
60 WUDP 
JA FT! 
10 Mute 
0 W H323 
E 加 RTSI 
0 ESMTP 
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通过 对 报 文 统计 分 析 ， 防 火 墙 实 现 了 对 内 部 网 络 的 保护 。 如 : 

。 通过 分 析 外 部 网 络 向 内 部 网 络 发 起 的 TCP 或 UDP 连接 总 数 是 否 超过 设 定 的 阔 值 ， 
可 以 确定 是 否 需要 限制 该 方向 的 新 连接 发 起 ， 或 者 限制 向 内 部 网 络 某 一 IP 地 址 发 
起 新 连接 。 

。 通过 分 析 发 现 系统 的 总 连接 数 超过 阔 值 ， 则 可 以 加 快 系统 的 连接 老化 速度 ， 以 保 
证 新 连接 能 够 正常 建 溉 ， 防 企 因 系统 太 忙 而 导致 拒绝 服务 情况 的 发 生 。 
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防火 墙 黑 名 单 


X É 192.168.1.1 
HRY = =) 
v 
192.168.1.1 | X 


192.168.1.2 | 











192.168.1.3 | 


。 黑 名 单 
o 黑 名 单 是 一 个 IP 地 址 列表 。 防 火 墙 将 检查 报 文 源 地 址 ， 如 果 命 中 , 疾 弃 所 有 报 文 
o 快速 有 效 地 屏蔽 特定 IP 地 址 的 用 户 。 
。 创建 黑 名 单 表 项 ， 有 如 下 两 种 方式 : 
a 通过 命令 行 手 工 创建 。 
o 通过 防火 墙 攻击 防范 模块 或 ID 模块 动态 创建 。 
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防火 墙 动态 创建 黑 名单 的 工作 过 程 如 下 : 
1. 根据 报 文 的 行为 特征 检测 到 来 自 特 定 IP 地 址 的 攻击 企图 。 
2. 自动 将 这 一 特定 IP 地 址 插入 黑 名 单 表 项 。 
3. 防火 墙根 据 黑 名 单 丢 弃 从 该 地址 发 送 的 报 文 ， 从 而 保障 网 络 安全 。 
通过 在 黑 名 单 中 引用 高 级 ACL, 滞 绑 定 黑 名 单 和 高 级 ACL， 确 保 一 些 特 殊 用 户 免 受 黑 











名 单 的 干扰 。 此 时 的 安全 策略 是 根据 高 级 ACL 规 则 确定 是 否 允 许 该 报 文通 过 。 对 于 ACL 规 
则 拒绝 的 流量 进行 丢弃 ， 而 AGt 规 则 允许 的 流量 则 允许 通过 ， 此 时 即使 用 户 被 加 入 黑 名 单 
， 仍 能 正常 通信 。 


O 870 





负载 均衡 


。 负载 均衡 。 
a 将 访问 同一 个 IP 地 址 的 用 户 流量 分 配 到 不 同 的 服务 器 上 。 

。 负载 均衡 采用 以 下 技术 ， 将 用 户 流量 分 配 到 多 人 台 服 务 器 : X 
o 虚 服务 技术 
a 服务 器 健康 性 检测 
o 基于 流 的 转发 


即 通过 指定 算法 ， 将 数据 流 发 送 到 as | vaener 


各 个 真实 服务 器 进行 处 理 。 pe 


pooo------------- 
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负载 均衡 采用 以 下 技术 ， 将 用 户 流量 分 配 到 多 合 服务 器 : 


。 虚 服 务 技 术 。 防 火 墙 配 置 负载 均衡 功能 后 ， 多 个 服务 器 共用 一 个 公 网 IP 地 址 (Bl ae 
拟 IP 地 址 ) ， 这 些 服务 器 被 称 作 真 实 服务 器 。 用 户 对 这 些 真 实 服务 器 上 内 容 的 访问 
都 通过 该 虚拟 iP 地址 进行 。 每 一 个 真实 服务 器 使 用 不 同 的 私 网 IP 地 址 ( 即 实 iP 地址 ) 
， 由 多 层 交 换 机 /防火 墙 将 访问 虚拟 IP 地 址 的 流量 按照 预先 配置 的 算法 分 配 到 每 一 个 
真实 服务 器 。 


。 服务 器 健康 性 检测 。 即 防火 雯 通过 周期 性 的 探测 真实 服务 器 ， 实 现 健康 性 检查 功能 
。 真 实 服务 器 如 果 可 用 守则 返回 应 答 报 文 ; 如 果 不 可 用 ， 一 段 时 间 后 防火 墙 将 禁止 
该 真实 服务 器 ， 将 流量 按 配置 好 的 策略 分 配 到 其 他 的 实 服务 器 上 。 


。 基于 流 的 转发 。 即 通过 指定 算法 ， 将 数据 流 发 送 到 各 个 真实 服务 器 进行 处 理 。 


88 [0 














应 用 控制 


e DPI (Deep Packet Inspection) ， 即 深度 报 文 检测 技术 。 使 用 DPI 知 
识 库 中 的 规则 ， 对 P2P、VolP、Video 等 多 种 应 用 数据 ， 可 以 对 识别 
的 网 络 流量 进行 允许 通过 、 阻 断 、 限制 连接 数 和 限 速 等 控制 动作 






» P2P Upload 

* P2P Download 

~ VoIP 

~ Web TV 

= ides Conferencing 
ty 


~~ email 
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DPI (Deep Packet Inspection) ， 即 深度 报 文 检测 技术 ， 是 对 数据 流 中 的 应 用 层 数 
据 进 行内 容 检测 的 技术 。 对 通过 解析 的 数据 包 。 使 用 DPI 知 识 库 中 的 规则 ， 对 应 用 数据 进 
行 匹 配 ， 分 析 报 文 或 流 在 IP 和 UDP/TCP 层 以 上 的 应 用 类 型 。 


在 匹配 成 功 后 ， 根 据 应 用 的 需求 ， 可 以 对 识别 的 网 络 流量 进行 允许 通过 、 阻 断 、 限 制 
连接 数 和 限 速 等 控制 动作 。 





ALS 


防火 墙 性 能 指标 一 否 吐 量 
o REE: 防火 墙 能 同时 处 理 的 最 大 数据 量 


。 有 效 吞 吐 量 : 除 掉 TCP 因 为 丢 包 和 超时 重 发 的 数据 , 实际 的 每 
秒 传输 有 效 速 率 


ar 

= 
yA 一 
N 

a aaa 一 E ed 788 
Ar a 
A 
A 
I 
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是 指 防火 墙 对 报 文 的 处 理 能 力 。RFC2647 中 定义 ， 防 火 墙 的 吞吐 量 是 指 防火 墙 

















对 指定 的 数据 载荷 每 秒 钟 接 收 、 a Er 的 接口 的 比特 数 。 在 测试 防火 墙 吞吐 
量 时 将 忽略 错误 流量 以 及 重 传 的 流量 , 即 具 计算 能 够 正确 转发 到 目的 接口 的 流量 ; 另外 防 
de tt 不 同方 向 的 流量 等 进行 测试 ， 最 终 取 平 均值 。 
对 于 载荷 级 别 ， 业 界 一 般 都 是 使 用 全 一 1.5Kbyte 的 大 包 来 衡量 防火 墙 对 报 文 的 处 理 能 





但 网 络 流量 大 部 分 是 200Byte 的 报信 区 此 测试 时 还 应 考虑 小 包 知 吐 量 。 同 时 由 于 防火 雯 











需要 配置 规则 ， 因 此 还 需要 测试 防火 墙 支持 ACL 下 的 转发 性 能 。 
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防火 墙 性 能 指标 一 延 时 


。 定义 : 数据 包 的 最 后 一 个 比特 进入 防火 墙 到 第 一 个 比特 输出 
防火 墙 的 时 间 间 隔 指 标 ， 是 用 于 测量 防火 墙 处 理 数据 的 速度 
理想 的 情况 X 


时 间 间 隔 
最 后 一 个 比特 进入 | | 第 一 个 比特 输出 


MUOU FOM 





Smartbits 60008 
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数据 包 的 最 后 一 个 比特 进入 防火 墙 到 第 一 个 比特 输出 防火 墙 的 时 间 间 隔 指标 ， 是 用 于 
测量 防火 墙 处 理 数 据 的 速度 理想 的 情况 。 
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防火 墙 性 能 指标 一 每 秒 新 建 连接 数 


。 定义 : 指 每 秒 钟 可 以 通过 防火 墙 建立 起 来 的 完整 TCP 连 接 


xX 


该 指标 是 用 来 衡量 防火 墙 数据 流 的 实时 处 理 能 


| 
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每 秒 新 建 连接 数 指 的 是 每 秒 钟 可 以 通过 防火 墙 建立 起 来 的 完整 TCP 连 接 。 


由 于 防火 墙 的 连接 是 根据 当前 通信 双 六 状态 而 动态 建立 的 。 每 个 会 话 在 数据 交换 之 前 

， 在 防火 墙 上 都 必须 建立 连接 。 如 果 防 火 墙 建立 连接 速率 较 慢 ， 在 客户 端 反 映 是 每 次 通信 

有 较 大 延迟 。 因 此 支持 的 指标 越 大 ， 转 仆 速 率 越 高 。 在 受到 攻击 时 ， 这 个 指标 越 大 ， 抗 攻 
击 能 力 越 强 ;另外 这 个 指标 越 大 , (状态 备份 能 力也 越 强 。 
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防火 墙 性 能 指标 一 并 发 连接 数 


就 是 一 个 TCP/UDP 的 访问 。 


可 








并 发 连接 数 指 的 可 以 同时 容纳 的 最 大 的 连接 数目 。 
由 于 防火 墙 是 针对 连接 进行 处 理 报 文 的 ， 并 发 连接 数目 是 指 的 防火 墙 





EX: 由 于 防火 墙 是 针对 连接 进行 处 理 报 文 的 ， 并 发 连接 数 
目 是 指 的 防火 墙 可 以 同时 容纳 的 最 大 的 连接 数目 ， 一 个 连接 


该 参数 是 用 来 衡量 主机 和 服务 器 间 能 同时 建立 的 最 大 连接 数 
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xX 





肖 可 以 同时 容纳 的 





最 大 的 连接 数目 ， 一 个 连接 就 是 一 个 TSP/UDP 的 访问 。 并 发 连接 数 指标 越 大 ， 抗 攻击 能 
也 越 强 。 当 防火 墙 上 并 发 连接 数 达到 峰值 后 ， 新 的 连接 请 求 报 文 到 达 防 火 墙 时 将 被 丢弃 。 
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防火 墙 设备 管理 概述 


。 设备 登录 管理 
o Console 登录 


o Web 登 录 
o telnet 登 录 
o SSH 登录 B 
。 设备 文件 管理 
o 配置 文件 管理 
o 系统 文件 管理 (软件 升级 ) 


o License 管 理 
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。 设备 登录 管理 

Console: 通 过 Rs-232 配 置 线 连 接 到 设备 二 ， 使 用 Console 方 式 登录 到 设备 上 ， 进 行 配置 。 

Telnet: 通过 PC 终端 连接 到 网 络 上 ， 使 用 Telnet 方 式 登录 到 设备 上 ， 进 行 配置 。 

Web: ”在 客户 端 通过 Web 浏 览 器 访问 设备 ， 进 行 控制 和 管理 。 

SSH: ”提供 安全 的 信息 保障 和 强 夫 认证 功能 ， 保 护 设备 系统 不 受 IP 欺 骗 、 明 文 密码 截取 

等 攻击 。 

。 设备 文件 管理 

配置 文件 是 设备 启动 时 要 加 载 的 配置 项 。 用 户 可 以 对 配置 文件 进行 保存 、 更 改 和 清除 


、 选 择 设备 启动 时 加 载 的 配置 文件 等 操作 。 系 统 文件 包括 USG 设 备 的 软件 版 本 ， 特 征 库 文 
件 等 。 一 般 软 件 升 级 需要 管理 系统 文件 。 


系统 软件 升级 。 上 传 系统 软件 到 设备 可 通过 TFTP 方 式 和 FTP 方 式 上 传 系统 软件 到 设备 上 
。 升级 系统 软件 配置 设备 下 次 启动 时 使 用 的 软件 系统 。 


License 是 设备 供应 商 对 产品 特性 的 使 用 范围 、 期 限 等 进行 授权 的 一 种 合约 形式 ， 
License 可 以 动态 控制 产品 的 某 些 特性 是 否 可 用 。 
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\ 几 dete 
设备 登录 管 

。 设备 登录 管理 组 网 - Console 
管理 PC 


4—8 Q 


P 
Interface 














。 设备 登录 管理 组 网 - Web / SSH / Telnet 
o 直接 相连 (通过 局 域 网 ) 
o 远程 连接 (通过 广域网 ) 








管理 PC G0/0/1 
S 192.168.0.1/24 
192.168.0.100/24 USG 


ji ——2 


网 线 
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e 通过 Console 口 登录 : 


使 用 PC 终端 通过 连接 设备 的 Console 口 来 登录 设备 ， 进 行 第 一 次 上 电 和 配置 。 当 用 户 无 
法 进行 远程 访问 设备 时 ， 本 CEA 全 TAMER; 当 设 备 系 统 无 法 启动 时 ， 可 通过 
babes 口 进行 诊断 或 进入 BootRom 进 行 系 统 升 级 。 


e 通过 Telnet 登 录 : 


通过 PC 终端 连接 到 网 络 上 , “使 用 Telnet 方 式 登录 到 设备 上 ， 进 行 本 地 或 远程 的 配置 ， 目 
标 设备 根据 配置 的 登录 参数 对 用 户 进行 验证 。 录 方 式 方便 对 设备 进行 远程 管理 和 
维护 。 


e 过 SSH 登 录 : 


提供 安全 的 信息 保障 和 强大 认证 功能 ， 保 护 设备 系统 不 受 IP 欺 骗 、 明 文 密码 截取 等 攻击 
。SSH 登 录 能 更 大 限度 的 保证 数据 信息 交换 的 安全 。 


e 过 Web 登 SR: 


在 客户 端 通过 Web 浏 览 器 访问 设备 ， 进 行 控制 和 管理 。 适 用 于 配置 终端 PC 通过 Web 方 
式 登 录 


注意 : PC 和 USG 以 太 网 口 的 |P 地 址 必须 在 同一 网 段 或 PC 和 USG 之 间 有 可 达 路 由 


O 20 


通过 Console 口 登录 设备 


。 USG 配 置 口 登录 的 缺 省 用 户 名 为 admin ， 缺 省 用 户 密码 为 
Admin@123。 其 中 ， 用 户 名 不 区 分 大 小 写 ， 密 码 要 区 分 大 小 


Se ¢ 


x) C998 /dy 
nus B U 


输入 待 拔 电 话 的 洋 细 信 息 ; 
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如 果 使 用 PC 进行 配置 ， 需 要 在 PC 上 运行 终端 仿真 程序 (如 Windows3.1 的 Terminal， 
Windows98/Windows2000/Windows XP 的 超级 终端 ) ， 建 立新 的 连接 。 如 图 所 示 ， 键 入 新 
连接 的 名 称 ， 单 击 “ 确 定 ”。 


在 串口 的 属性 对 话 框 中 设置 波 特 率 为 9600， 数 据 位 为 8， 奇 偶 校 验 为 无 ， 停 止 位 为 1， 
流量 控制 为 无 ， 单 击 “ 确 定 ” ， 返 回 超级 终端 窗口 。 


打开 设备 电源 开关 。 设 备 汪 电 后 六 检查 设备 前 面板 上 的 指示 灯 显 示 是 否 正常 。 
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通过 Web 方 式 登 录 设 备 


。 设备 缺 省 可 以 通过 GigabitEthernetO/0/0 接 口 来 登录 Web 界 面 。 
o 将 管理 员 PC 的 网 络 连 接 的 IP 地 址 获取 方式 设置 为 “自动 获取 IP 地 址 ”。 
o 将 PC 的 以 太 网 口 与 设备 的 缺 省 管理 接口 直接 相连 ， SDESSE 
o 在 PC 的 浏览 器 中 访问 http://192.168.0.1， 进 入 Web 界 面 的 登录 页 面 。 
o 缺 省 用 户 名 为 admin， 密 码 为 Admin@123 


Secoway 
USG2220 HUAWET 
| 

语 言 : 简体 中 文 { 

用 户 名 : 

= B: < 

X 
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缺 省 情况 下 ， 设 备 开 启 HTTP; 建议 开启 HTTPS4 提高 安全 性 。 用 户 可 以 通过 用 户 名 / 密 
码 : admin/Admin@123 登 录 ， 为 保证 系统 安全 % 登录 后 请 修改 密码 。 


只 有 GigabitEthernet 0/0/0 接 口 加 入 Trust 域 并 提供 缺 省 iP 地址 (192.168.0.1/24) ， 并 
开放 Trust 域 到 Local 域 的 缺 省 包 过 滤 ， 方 便 初 始 登录 设备 。 


缺 省 情况 下 开放 Local 域 到 其 他 任意 安全 区 域 的 缺 省 包 过 滤 ， 方 便 设 备 自身 的 对 外 访问 


其 他 接口 都 没有 加 安全 区 域 ， 并 且 其 他 域 间 的 缺 省 包 过 滤 关 闭 。 要 想 设 备 转发 流量 必 
须 将 接口 加 入 安全 区 域 ， 关 配置 域 间 安全 策略 或 开放 缺 省 包 过 滤 。 





Web 登 录 配 置 管理 


。 配置 USG 的 IP 地 址 。( 略 ) 
。 配置 USG 接 口 Web 设 备 管 理 。 
[USG-GigabitEthernet0/0/1] service-manage enable X 
[USG-GigabitEthernet0/0/1] service-manage http permit 
。 启动 Web 管 理 功 能 。 
[USG] web-manager security enable port 2000 
。 配置 Web 用 户 。 
[USG] aaa 
[USG-aaa] local-user webuser password cipher Admin@123 
[USG-aaa] local-user webuser service-type web 


[USG-aaa] local-user webuser level 3 
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开启 HTTP 
执行 命令 system-view， 进 入 系统 视图 % 


执 


4 


{T 





命令 web-manager enable [ portportinumber ]， 开 启 HTTP。 


此 时 在 Web 浏 览 器 中 应 该 通过 http:// 格 式 的 地 址 登录 设备 。 默 认 端 口号 是 80。 
。 开启 HTTPS (默认 证 书 ) 


执 
执 


qT 





行 命令 system-view, 4 进入 系统 视图 。 


eA 


4p >web-managersecurity enable port port-number， 开 启 HTTPS 。 





此 时 在 Web 浏 览 器 中 应 该 通过 https:// 格 式 的 地 址 登录 设备 。 
local-user level 命 令 用 来 配置 本 地 用 户 的 优先 级 。 
Level 3: 管理 级 





Web 登 录 配 置 管理 


。 配置 Web 管 理 员 ， 并 启动 Web 管 理 功 能 ， 根 据 客户 需求 启动 HTTP 或 者 
HTTPS 管 理 ， 以 及 设置 端口 号 。 








管理 员 密 码 管理 配置 
TSEL BA @ 
定 码 过 期 8 时 间 90 <30-365> (天 ) 


管理 员 列 表 
+z Kese Ugri 按 用 户 名 查询 





























配置 设备 服务 
HTTP 服 务 v 启用 
HTTP 般 务 庙 品 80 <1025-50000>SHi\(H: 80 
HTTPS 服 务 TER 
HTTPSRRRO 
Web 服 务 超 8 提 9j 间 10 <1-1440> 分 种 
SSHRE 


应 用 bod 
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PLSRANEE ABA. 
Note: 不 需要 设置 Web,， FIP, 
Telnet 等 类 别 。 默 认 支 持 所 有 
用 户 类 别 。 








启动 Web 管 理 功 能 ， 根 据 客户 需求 启动 HTTP 或 者 HTTPS 管 理 ， 以 及 设置 端口 号 。 


开启 HTTP/HTTPS 服 务 后 (设备 作为 Web 服 务 器 ) ， 配 置 终端 通过 HTTP/HTTPS 协 议 ( 
Web 方 式 ) 登录 设备 ， 实 现 远程 配置 和 管理 % 相 比 HTTP，HTTPS 具 有 更 高 的 安全 性 。 在 一 
个 需要 更 高 安全 保证 的 网 络 环境 下 ， 建 议 使 用 HTTPS 服 务 。 


1， 选 择 “ 系 统 > 管理 员 > 设置 ”。 


2. 选中 “HTTP 服 务 ”或 “HWTPS 服 务 ”对 应 的 “启用 ”。 可 以 同时 开启 HTTP 服 务 和 


HTTPS 服 务 。 
3， 在 “HTTP 服 务 端 口 ”* 或 “HTTPS 服 务 端 口 ” 中 输入 端口 号 。 
4. 单 击 “应 用 ” 
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通过 Telnet 方 式 登录 设备 


。 设备 缺 省 可 以 通过 
GigabitEthernet0/0/0 接 口 来 实现 
Telnet 登 录 。 








Host Name (or IP address) 


o 将 管理 员 PC 的 网 络 连接 的 | 地 址 |， comes 
获取 方式 设置 为 “自动 获取 IP 地 tore era 


址 ”。 


ii Defaut Settings 
o 通过 Putty telnet192.168.0.1， 进 = 
Proxy 
入 登录 页 面 。 Ter E33 


o 缺 省 用 户 名 为 admin， 密 码 为 
Admin@123 





ee © Only on clean ext 
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GigabitEthernet O/O/0 接 口 加 入 Trust 域 并 提供 缺 省 IP 地 址 (192.168.0.1/24) ， 并 开放 
Trust 域 到 Local 域 的 缺 省 包 过 滤 ， 方 便 初 始 登录 设备 。 


0 1019 


Telnet 登 录 配 置 管理 


。 配置 USG 接 口 telnet 设 备 管理 。 
[USG-GigabitEthernet0/0/1] service-manage enable 
[USG-GigabitEthernet0/0/1] service-manage telnet permit 

e 配置 vty interface. x 
[USG] user-interface vty 0 4 
[USG-ui-vty0-4] authentication-mode aaa 
[USG-ui-vty0-4] protocol inbound telnet 

。 配置 Telnet 用 户 信息 。 

[USG] aaa 
[USG-aaa] local-user user1 password cipher password@123 
[USG-aaa] local-user user1 service-type telnet 


[USG-aaa] local-user user1 level 3 
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USG 提 供 两 种 验证 方式 来 检查 远 端 Telnet 用 户 的 合法 性 ， 分 别 是 密码 验证 和 AAA 验证 。 
。 使 用 密码 方式 远程 Telnet 
o 验证 方式 为 密码 验证 时 ， 远 端 用 户 登录 到 USG 只 需要 输入 密码 。 


a 执行 命令 user-interface [ interface-type ] first-number [ last-number ]， 进 入 VTY 用 户 
界面 视图 。 


o 执行 authentication-modasgassword， 配 置 验证 方式 为 密码 验证 。 








a 执行 set authenticatiompassword cipher password， 设 置 Password 验 证 的 密码 
e 使 用 AAA 方式 远程 Telnet 


o 执行 命令 user-interface [ interface-type ] first-number [ last-number ]， 进 入 VTY 用 户 
界面 视图 。 


o 执行 命令 authentication-mode aaa， 配 置 验证 方式 为 AAA 验 证 。 
0 hT AS protocol inbound {all | telnet }， 配 置 用 户 界面 支持 Telnet 协 议 。 
a 执行 命令 aa aa, 进入 AAA 视图 。 


了 | 








a 执行 命令 local-user user-name password cipher password， 创 建 本 地 用 户 。 


ao 执行 命令 local-user user-name service-type telnet， 配 置 本 地 用 户 的 服务 类 型 为 





o 执行 命令 local-user user-name level level， 配 置 本 地 用 户 的 级 别 。 









Telnet 登 录 配 置 管理 


。 配置 Telnet 管 理 员 


国 [请 输入 用 户 名 







新 建 管理 员 和 管理 员 级 别 。 
Note: 不 需要 设置 Web，FTP， 
Telnet 等 类 别 。 默 认 支 持 所 有 | a 


用 户 类 别 。 Q 
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通过 SSH 方 式 登录 设备 (1) 


。 配置 USG 的 接口 IP 地 址 。 ( 略 ) 
。 配置 USG 接 口 telnet 设 备 管理 。 
[USG-GigabitEthernet0/0/1] service-manage enable 





[USG-GigabitEthernet0/0/1] service-manage telnet permit X 
。 配置 RSA 本 地 密 钥 对 。 

<USG> system-view 

[USG] rsa local-key-pair create 

It will take a few minutes. Input the bits in the modulus[default = 512]:512 


Generating keys... ,. 十 二 十 十 + 十 十 十 十 十 十 十 ee 


。 配置 VTY 用 户 界面 。 
[USG] user-interface vty 0 4 





[USG-ui-vty0-4] authentication-mode aaa 


[USG-ui-vty0-4] protocol inbound ssh 
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SSH 可 以 为 用 户 登 录 设 备 系统 提供 安全 的 信息 和 保障 和 强大 的 认证 功能 。 配 置 USG 接 口 
SSH 设 备 管理 ， 管 理 员 根据 实际 的 需要 打开 。 

在 USG 上 生成 本 地 密 钥 对 。 

成 功 完 成 SSH 登 录 的 首要 操作 是 %4 配置 并 产生 本 地 RSA 密 钥 对 。 请 您 在 进行 其 它 SSH 配 
置 之 前 ， 一 定 记得 完成 rsa local-key-pair create 配 置 ， 生 成 本 地 密 钥 对 。 此 命令 只 需 执行 
一 遍 ， 设 备 重 启 后 不 必 再 次 执行 。 
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通过 SSH 方 式 登录 设备 (2) 


。 新 建 用 户 名 为 Client001 的 SSH 用 户 ， 且 认证 方式 为 password。 

[USG] ssh user client001 

[USG] ssh user client001 authentication-type password 

。 为 SSH 用 户 Client001 配 置 密码 为 Admin@123。 xX 
[USG] aaa 

[USG-aaa] local-user client001 password cipher Admin@123 

[USG-aaa] local-user client001 service-type ssh 

。 配置 SSH 用 户 Client001 的 服务 方式 为 STelnet， 并 启用 STelnet 服 务 。 


[USG] ssh user client001 service-type stelnet 





[USG] stelnet server enable 


以 上 配置 完成 后 ， 运 行 支持 SSH 的 客户 端 软 件 。 建 立 SSH 连 接 。 
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。 在 USG 上 创建 SSH 用 户 。 
设备 作为 SSH 服 务 器 时 ， 可 配置 对 SSH 用 户 的 验证 方式 为 Password、RSA 方 式 。 
上 图 以 Password 为 例 。 





启用 USG 的 服务 方式 为 STelnet/SEFP 服 务 。 


a 执行 命令 ssh user user-namiegservice-type { sftp | stelnet | all }， 为 SSH 用 户 配 置 服务 
方式 。 


o 在 使 用 SSH1.5 版 本 配置 SSH 终 端 服 务 时 ， 不 需 进 行 该 配置 ; 在 使 用 SSH2.0 版 本 配 
置 SSH 终 端 服务 时 ， 必 须 配置 该 命令 。 


。 启用 USG 的 STelnet/SFTP 服 务 。 
o 配置 SSH 服 务 器 功能 。 
a 执行 命令 steliiet server enable， 启 用 Stelnet 服 务 。 


=» 在 使 用 SSHT5 版 本 配置 SSH 终 端 服务 时 ， 不 需 进行 该 配置 ; 在 使 用 SSH2.0 版 本 配置 9SH 
终端 服务 时 并 必须 配置 该 命令 。 
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配置 文件 管理 


。 配置 文件 类 型 
o saved-configuration 


o current-configuration 


。 配置 文件 操作 
o 保存 配置 文件 
o 擦 除 配置 文件 (恢复 出 厂 配 置 ) 
o 配置 下 次 启动 时 的 系统 软件 和 配置 文件 
o 重启 设备 
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saved-configuration: 





W Huawei 


o USG 设 备 下 次 上 电 启动 时 所 用 的 配置 文件 ， 存 储 在 USG 的 Flash 或 者 CF 卡 ， 重 启 不 


会 丢失 。 


current-configuration: 





o USG 设 备 当 前 生效 的 配置 和 %、 命 令 行 和 Web 操 作 都 是 修改 current-configuration。 存 


储 在 USG 的 内 存 中 ， 重 户 委 失 。 
保存 配置 


o 作用 : 为 了 使 当前 配置 能 够 作为 防火 墙 下 次 上 电 时 的 起 始 配置 。 





a 方法 1 (命令 行 ) 六 在 用 户 视图 下 ， 执 行 命令 save。 





o 方法 2 人 Web): 选择 “主页 ”右上 方 的 “保持 ”按钮 。 如 下 图 

重启 防火 墙 
o 作用 六 防火 墙 将 重新 启动 ， 并 将 重启 动作 记录 至 日 志 中 。 
o、 方 法 ?命令 行 : 在 用 户 视图 下 ， 执 行 命令 reboot 命 令 。 


a 方法 2 Web: 选择 “系统 > 维护 > 系统 重启 ”如 图 所 示 。 
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所 示 。 


配置 文件 管理 


。 配置 文件 类 型 
o saved-configuration 


o Current-configuration x 


。 配置 文件 操作 
o 保存 配置 文件 
o 擦 除 配置 文件 (恢复 出 厂 配 置 ) 
o 配置 下 次 启动 时 的 系统 软件 和 配置 文件 
o 重启 设备 
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。 擦 除 配置 文件 。 
o 作用 : 配置 文件 被 擦 除 后 ， 防 火 墙 下 次 上 电 将 采用 缺 省 的 配置 参数 进行 初始 化 。 
法 1( 命 令 ): 在 用 户 视图 下 ， 执 行 命令 reset saved-configuration。 
法 2(Web): 选择 “系统 > 维护 > 配置 管理 ”， 执 行 恢复 出 厂 配 置 按钮 


方法 3 (硬件 reset 按 钮 )。wy 如 果 设 备 没 有 上 电 : 先 按 住 RESET 按 钮 ， 再 打开 电源 开关 
。 当 面板 上 设备 指示 灯 同 时 以 2 次 / 秒 的 频率 内 烁 时 ， 松 开 RESET 按 钮 ， 设 备 会 
使 用 缺 省 配置 启动 s 


方法 4 (硬件 reset 按 钮 》: 如 果 设备 已 经 正常 启动 : 长 时 间 (超过 10 秒 ) 按 住 RESET 
。 设 备 将 重启 并 使 用 缺 省 配置 进行 启动 。 


。 配置 下 次 启动 时 的 系统 软件 
o 命令 行 : 在 用 户 视图 下 ， 执 行 命令 startup system-software sysfile. 


o Webs 选择 “系统 > 维护 > 系统 更 新 ”，“ 选 择 ” 下 次 启动 系统 软件 按钮 。 
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版 本 升级 (命令 行 ) 


。 使 用 TFTP 下 载 文 件 
o 执行 命令 tftp tftp-server-address or hostname get source-filename [ 
destination-filename ] \ 


。 使 用 FTP 下 载 文件 


a 执行 命令 ftp ip-address [ port-number ] [ vpn-instance vpn-instance-name 


]， 与 FTP 服 务 器 建立 控制 连接 ， 并 进入 FTP 客 户 端 视图 。 
注 : 以 上 两 种 下 载 文 件 的 方式 二 选 一 即 可 
。 配置 系统 下 次 启动 时 使 用 的 系统 软件 


o 执行 startup system-software sys-filename. 
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。 通过 TFTP 方 式 


o USG 作 为 TFTP 客 户 端 从 TFTP 服 务 器 上 获得 系统 软件 。 这 种 情况 下 ， 不 要 求 TFTP 服 
务 器 和 USG 在 同一 个 网 段 ， 只 要 保证 二 者 之 间 路 由 可 达 即 可 。 


这 种 情况 下 ， 不 要 求 FTP 服 务 器 和 UsG 在 同一 个 网 段 ， 只 要 保证 二 者 之 间 路 由 可 达 即 可 


ao USG 作 为 FTP 客 户 端 s 
a 在 FTP 主 机 上 运行 FTP 服 务 器 程序 ， 并 把 需要 下 载 的 系统 软件 放 到 相应 的 FTP 
的 工作 目录 下 ， 在 UsG 用 户 视图 下 ， 通 过 命令 下 载 系统 软件 到 UsG 的 相应 目 
录 下 ， 具 体操 作 请 参见 上 传 、 下 载 文件 。 
o USG 作 为 FTP 服 务 器 。 
a 在 USG 上 启动 FTP 服 务 器 ， 通 过 FTP 客 户 端 登录 到 USG 后 ， 把 系统 软件 上 传 到 
UsG 相 应 的 目录 下 。 
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版 本 升级 (Web) 


。 一 键 式 升级 


一 键 式 版 本 升级 


















E tare 名 版 本 升 包 前 ， 请 先 确保 即将 要 升 人 的 版 本 与 设备 当前 运行 版 本 不 是 同一 个 版 本 。 
版 本 升级 前 ， 建议 把 设备 上 告警 信息 、 日 志 信 息 、 配 置信 息 导 出 到 本 地 。 
省 警 信息 
日 志 信 息 
配置 信息 


MRTG : 8858 KB 
RPS RPS MeO RANT. 








HiZMAERRATALEDRAH ES RR. METEEN? 
© 设置 为 下 次 启动 系统 软件 ， 并 重启 系统 。 
设置 为 下 次 局 动 系统 软件 ， 不 重启 系统 。 





说 明 : 如 果 在 升级 
过 程 中 空 然 断 电 ， 
那么 系统 将 无 法 启 
动 
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一 键 升级 系统 软件 


口 


如 果 当 前 设备 的 存储 空间 不 足 ， 设 备 将 自动 删除 当前 运行 的 系统 软件 。 


系统 软件 必须 以 “.bin" 作 为 扩展 名 , RSX. 


口 


口 


口 


选择 “系统 > 维护 > 系统 更 新 ” 。 
单 击 “ 一 键 式 版 本 升级 ”, 显示 一 键 系统 软 件 升 级 向 导 界 面 。 


可 选 : 依次 单 击 时 出 ”， 将 设备 上 的 告警 信息 、 日 志 信息 和 配置 信息 导出 到 终 
端 。 建 议 将 配置 信息 保生 到 终 庙 。 


单 击 “ 浏 览 从 ， 选 择 待 上 传 的 系统 软件 。 


根据 当前 网 络 是 否 允 许 设备 升级 后 立即 重启 ， 选 中 “设置 为 下 次 启动 系统 软件 ， 
并 重启 系统 ”或 “设置 为 下 次 启动 系统 软件 ， 不 重启 系统 ”前 的 单 选 框 。 


重启 设备 后 /才能 使 用 升级 后 的 系统 软件 。 
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License 配 置 


。 License 是 设备 供应 商 对 产品 特性 的 使 用 范围 、 期 限 等 进行 授权 的 一 种 合约 
形式 ，License 可 以 动态 控制 产品 的 某 些 特性 是 否 可 用 。 


e 激活 License X 





o 执行 命令 system-view， 进 入 系统 视图 。 ATA, eb fas BA 
o 执行 命令 license file license-file ， 激 活 指定 的 License 文 件 。 活 的 icy “id 







党 > 4 


ao 可 以 通过 命令 display license， 查 看 License 的 信息 。 










License 沂 活 方式 在 线 自动 激活 OF Sisal: ot 
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e 手动 激活 License 
o License 文件 必须 以 “.dat “作为 扩展 名 一 不 支持 中 文 。 
ms。 选择 “系统 > 维护 > License 管 理 ”。 
= 在 “License 激 活 方式 三 中 选择 “本 地 手动 激活 ”。 
" 单 击 “浏览 ” ,选择 待 上 传 的 License 文 件 。 
» 单 击 “激活 ”3 激活 当前 License 文 件 。 
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© 目录 


1， 防 火 墙 概述 








2， 防 火 墙 功能 特性 
防火 墙 设备 xX 
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网 络 诊断 工具 命令 (ping, tracert) 、 从 本 设备 出 发 访问 
外 部 设备 的 命令 (包括: Telnet 客 户 端 、 SSH、Rlogin) Ss 
该 级 别 命 令 不 允许 进行 配置 文件 保存 的 操作 。 


用 于 系统 维护 、 业 务 故障 诊断 等 ， 包 括 displays 
debugging 命 令 ， 该 级 别 命令 不 允许 进行 配置 交 件 
保存 的 操作 。 


业务 配置 命令 ， 包 括 路 由 、 各 个 网 络 层 次 的 命 
些 用 于 向 用 户 提供 直接 网 络 服务 。 


关系 到 系统 基本 运行 ， 系 统 支 撑 模 块 的 命令 ， 这 
命令 对 业务 提供 支撑 作用 





VRP 系 统 命令 采用 分 级 保护 方式 ， 命 令 被 划分 为 参观 级 、 监 控 级 、 配 置 级 、 管 理 级 4 个 


级 别 。 


参观 级 : 


监控 级 : 


配置 级 : 


管理 级 : 


网 络 诊断 工具 命令 (ping tracert) 、 从 本 设备 出 发 访问 外 部 设备 的 命令 (A 
括 : Telnet 客 户 端 、SSH、Rlogin) 等 ， 该 级 别 命 令 不 允许 进行 配置 文件 保存 的 
操作 。 

用 于 系统 维护 、 业 务 故障 诊断 等 ， 包 括 display、debugging 命 令 ， 该 级 别 命 令 
不 允许 进行 配置 文件 保存 的 操作 。 

业务 配置 命令 ， 包 括 路 由 、 各 个 网 络 层次 的 命令 ， 这 些 用 于 向 用 户 提 供 直 接 
网 络 服务 。 

关系 到 系统 基本 运行 ， 系 统 支 撑 模 块 的 命令 ， 这 些 命令 对 业务 提供 支撑 作用 
， 包 括 文件 系统 、FTP、TFTP、Xmodem 下 载 、 配 置 文件 切换 命令 、 备 板 控制 
命令 、 用 户 管理 命令 、 命 令 级 别 设置 命令 、 系 统 内 部 参数 设置 命令 等 。 


系统 对 登录 用 户 也 划分 为 4 级 ， 分 别 与 命令 级 别 对 应 ， 即 不 同 级 别 的 用 户 登 录 后 ， 只 能 
使 用 等 于 或 低 于 自己 级 别 的 命令 。 当 用 户 从 低级 别 用 户 切换 到 高 级 别 用 户 时 ， 需 要 使 用 命 


人 
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令 : sùper password [ level user-level ] { simple | cipher } password 切换 。 


。 命令 视图 的 分 类 : K 
o 用 户 视图 
a <USG> 
o 系统 视图 
= [USG] 
o 接口 视图 
a [USG -Ethernet0/0/1 ] 
o 协议 视图 
a [USG -rip] 
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系统 将 命令 行 接口 划分 为 若干 个 命令 视图 ， 系 统 的 所 有 命令 都 注册 在 某 个 (RRE) 
命令 视图 下 ， 只 有 在 相应 的 视图 下 才能 执行 该 视图 下 的 命令 。 

与 防火 墙 建立 连接 即 进入 用 户 视 贺 ， 它 所 完成 查看 运行 状态 和 统计 信息 的 简单 功能 ， 
再 键入 system-view 进 入 系统 视图 ， 在 系统 视图 下 ， 可 以 再 键入 不 同 的 配置 命令 进入 相应 的 
协议 、 接 口 等 视图 。 
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VRP 在 线 帮 助 


<USG 5000> display ? 
。 键入 一 命令 ， 后 接 以 空格 分 隔 的 “?”， 如 果 该 位 置 为 参数 ， 则 列 出 有 关 的 
参数 描述 。 
[USG 5000] interface ethernet ? 
<3-3> Slot number 
。 键入 一 字符 串 ， 其 后 紧 接 “?"， 列 出 以 该 字符 串 开头 的 所 有 命令 。 
<USG 5000> d? 


debugging delete dir display 
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VRP 平 台 提 供 十 分 方便 的 命令 行 在 线 帮助 ， 只 需要 在 有 疑问 的 地 方 键入 问号 即 可 。 

例如 在 系统 视图 下 直接 键入 问号 ， 系 统 便 会 列 出 在 系统 视图 下 可 以 配置 的 命令 参数 ， 或 
者 在 参数 后 键入 空格 ， 然 后 再 键入 问号 ， 便 可 获得 该 参数 后 可 以 使 用 的 参数 列表 ， 如 果 是 
键入 一 字符 串 ， 其 后 紧 接 键入 问号 ， 则 系统 会 列 出 以 该 字符 串 开 头 的 所 有 命令 。 
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VRP 在 线 帮 助 〈 续 ) 


。 输入 命令 的 某 个 关键 字 的 前 几 个 字母 ， 按 下 <TAB> 键 ， 可 以 


显示 出 完整 的 关键 字 
。 暂停 显示 时 键入 <Ctrl+C> ”停止 显示 和 命令 执行 以 


。 暂停 显示 时 键入 空格 键 ”继续 显示 下 一 屏 信息 
。 暂停 显示 时 键入 回 车 键 继续 显示 下 一 行 信息 
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输入 命令 的 某 个 关键 字 的 前 几 个 字母 。 按 下 <tab> 键 ， 系 统 还 可 以 显示 出 完整 的 关键 
字 。 


我 们 看 到 有 的 时 候 在 一 次 显示 信息 有 可 能 会 超过 一 屏 ， 此 时 系统 提供 了 暂停 功能 ， 这 
时 用 户 可 以 有 三 种 选择 : 


暂停 显示 时 键入 <Ctrl+c> 停业 显示 和 命令 执行 
暂停 显示 时 键入 空格 键 “继续 显示 下 一 屏 信息 
暂停 显示 时 键入 回 车 键 继 续 显 示 下 一 行 信息 
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防火 墙 基本 配置 流程 






三 层 接口 模式 ag 接口 |P 地 址 


默认 区 域 








二 层 接口 模式 





数据 包 转 发 





MERACIA 
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以 上 配置 流程 不 等 同 于 防火 墙 转 发 流程 。 
基本 配置 包括 基本 功能 配置 和 设备 管理 配置 。 
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配置 接口 模式 


步骤 1 进入 系统 视图 。 
<USG>system-view 
步骤 2 进入 接口 视图 xX 
[USG]interface interface-type interface-number 
步骤 3 配置 三 层 以 太 网 接口 或 者 二 层 以 太 网 接口 
配置 三 层 以 太 网 接口 
ip address ip-address { mask | mask-length }, o 
或 配置 二 层 以 太 网 接口 


portswitch 
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在 USG 中 ， 支 持 以 下 两 种 接口 卡 : 
二 层 接 口 卡 : 所 有 接口 均 为 二 层 以 太 网 接口 ， 不 支持 切换 为 三 层 接口 。 


三 层 接口 卡 : 所 有 接口 缺 省 为 三 层 以 太 网 接口 ， 可 以 通过 命令 portswitch 切 换 为 二 层 以 
太 网 接口 。 
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配置 安全 区 域 


步骤 1 执行 命令 system-view， 进 入 系统 视图 。 

步骤 2 执行 命令 firewall zone [ vpn-instance vpn-instance- 
name ] [ name ] zone-name， 创 建安 全 区 域 ， set ABC 
应 安全 区 域 视图 。 


` 必 配置 关键 字 name， 直 接 进入 安全 区 域 视图 
需要 配置 关键 字 name， 进 入 安全 区 域 视图 


步骤 3 执行 命令 set priority security-priority*% 配 置 安全 区 域 的 
安全 级 别 。 
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。 创建 自 定义 安全 区 域 。 
步骤 1 执行 命令 system-view， 进 入 系统 视图 。 


步骤 2 执行 命令 firewall zone [ vpn-instance vpn-instance-name ] [ name ] zone-name， 创 


建安 全 区 域 ， 并 进入 相应 安全 区 域 视图 。 
执行 firewall zone 命令 时 ， 存 在 如 下 两 种 情况 
安全 区 域 已 经 存在 : 不 必 配 置 关 键 字 name， 直 接 进 入 安全 区 域 视图 
安全 区 域 不 存在 : 需要 配置 关键 字 name， 进 入 安全 区 域 视图 。 


系统 预定 义 了 Local、 Trust、DMZ、Untrust 共 4 个 安全 区 域 。 在 路 由 模式 下 ，4 个 安全 区 
域 无 需 创建 ， 也 不 能 删除 和 防火墙 最 多 支持 16 个 安全 区 域 


步骤 3 执行 命令 set priority security-priority， 配 置 安全 区 域 的 安全 级 别 。 
。 配置 安全 区 域 的 安全 级 别 时 ， 需 要 遵循 如 下 原则 : 

1. 只 能 为 自 定义 的 安全 区 域 设 定安 全 级 别 。 

2. 记 全 级 别 生 旦 设 定 ， 不 允许 更 改 。 

3 同一 系统 中 ， 两 个 安全 区 域 不 允许 配置 相同 的 安全 级 别 。 

4 新 建 的 安全 区 域 ， 未 设 定 其 安全 级 别 前 ， 系 统 规定 其 安全 级 别 为 0。 











o 
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将 接口 加 入 安全 区 域 


步骤 1 执行 命令 system-view， 进 入 系统 视图 。 
步骤 2 执行 命令 firewall zone [ vpn-instance vpn-instance- 
name ] [ name ] zone-name， 创 建安 全 区 域 ， et AABN 


安全 区 域 视图 。 
步骤 3 执行 命令 add interface interface-type interface-number 
， 配 置 接口 加 入 安全 区 域 。 
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OH 1190 


Bic eh le) RS TE N 


步骤 1 执行 命令 system-view， 进 入 系统 视图 。 

步骤 2 执行 命令 firewall packet-filter default { permit | deny } { { 
all | interzone zone1 zone2 } [ direction { inbound | 
outbound }] }， 配 置 域 间 缺 省 包 过 滤 规则 。 


| zone1 与 zone2 有 先后 顺序 吗 ? 7.2 | 


没有 先后 顺序 。 因 为 Inboungd 和 9@9utbound 








的 方向 只 与 域 的 优先 级 有 关 








Copyright © 2013 Huawei Technologies Co., Ltd. All rights reserved. Page 61 w HUAWEI 


。 配置 域 间 包 过 滤 规 则 


当 数 据 流 无 法 匹配 防火 墙 中 的 ACL 时 会 按照 域 间 缺 省 包 过 过 滤 规 则 转发 或 丢弃 该 数据 
流 的 报 文 。 配 置 域 间 缺 省 包 过 滤 规 则 ， 需 要 进行 如 下 操作 。 


步骤 1 执行 命令 System-view， 进 入 系统 视图 。 

步骤 2 执行 命令 firewall packet-filter default { permit | deny } { { all | interzone zone1 
zone2 } [ direction { inbound | outbound } ] }， 配 置 域 间 缺 省 包 过 滤 规 则 。 

参数 说 明 : 

permit: 默认 过 滤 规 则 为 多 许 ; deny: 默认 过 滤 规 则 为 禁止 ; all: 配置 作用 于 所 有 安 
全 区 域 间 ; interzoné: 配置 作用 于 特定 安全 区 域 间 ; zone1: 第 一 个 安全 区 域 的 名 字 ， 可 
以 是 DMZ、Local、Trust、JUntrust 区 域 以 及 自 定义 区 域 ; zone2: 第 二 个 安全 区 域 的 名 字 ， 
可 以 是 DMZ、Locaik、Trust、Untrust 区 域 以 及 自 定 义 区 域 ; direction: 配置 过 滤 规 则 作用 的 
方向 ; inbound:s 配 置 过 滤 规则 作用 于 安全 区 域 间 入 方向 ; outbound: 配置 过 滤 规 则 作用 
于 安全 区 域 间 出 方向 。 


缺 省 情况 站 ， 在 防火 墙 所 有 安全 区 域 间 的 所 有 方向 都 禁止 报 文通 
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配置 路 由 


。 配置 静态 路 由 ， 需 要 进行 如 下 操作 。 
步骤 1 执行 命令 system-view， 进 入 系统 视图 。 
步骤 2 执行 命令 ip route-static ip-address { mask | mask-length } { intelifgce? 
type interface-number | next-ip-address } | preference values] [reject 
| blackhole ] 增 加 一 条 静态 路 由 
。 配置 缺 省 路 由 ， 需 要 进行 如 下 操作 。 
步骤 1 执行 命令 system-view， 进 入 系统 视图 。 
步骤 2 执行 命令 ip route-static 0.0.0.0 { 0.0.0.0 | 0 }{ interface-type 


interface-number | next-ip-address } [ preference*value ] [ reject | 


blackhole], KBR RA. 
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通过 静态 路 由 的 配置 可 建立 一 个 互通 的 网 络 = 人 得 这 种 配置 问题 在 于 : 当 一 个 网 络 故障 
发 生 后 ， 静 态 路 由 不 会 自动 发 生 改变 ， 必 须 有 管理 员 的 介入 。 


缺 省 路 由 就 是 在 没有 找到 匹配 的 路 由 表 当 口 项 时 才 使 用 的 路 由 。 即 只 有 当 没 有 合适 的 
路 由 时 ， 缺 省 路 由 才 被 使 用 。 在 路 由 表 路 ， 缺 省 路 由 以 到 网 络 0.0.0.0 〈 掩 码 为 0.0.0.0) 的 
路 由 形式 出 现 。 如 果 报 文 的 目的 地 址 未 能 与 路 由 表 的 任何 入 口 项 相 匹 配 ， 那 么 该 报 文 将 选 
取 缺 省 路 由 。 如 果 没 有 缺 省 路 由 且 报 文 的 目的 地 不 在 路 由 表 中 ， 那 么 该 报 文 被 丢弃 的 同时 
， 将 向 源 端 返回 一 个 ICMP 报 文 报告 该 目的 地 址 或 网 络 不 可 达 。 
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配置 接口 模式 
步骤 1 选择 网 络 > 接口 ， 选 择 对 应 接口 的 编辑 。 
根据 组 网 规 
划 合 选择 相 
Ta EGES : =n = = ae VLAN Tag ax wasn wame an R 应 的 接口 
hor S arera se Sn hoe ls 
eas ost ss trustpum 19216811 Route P 7 + 一 eb 
步骤 2 配置 接口 IP 地 址 ， 切 换 接 口 模式 
-Pao #0 ao 
BRGigabitEthernet 
noa MEIPHAF, F 
通过 切换 接口 模式 。 网 掩 码 
路 由 : 三 层 接口 
交换 : 二 层 接 z : sere nar DHCP 5 
Soa, wee Wenn 默认 网 关 的 作用 ? 
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步骤 1 选择 网 络 > 接口 ， 选 择 对 应 接口 的 编辑 

步骤 2 配置 接口 |P 地 址 ， 切 换 接口 模式 

在 USG 中 ， 支 持 以 下 两 种 接口 卡 : 

二 层 接口 卡 : 所 有 接口 均 为 二 层 以 太 网 接口 ， 不 支持 切换 为 三 层 接 口 。 


三 层 接口 卡 : 所 有 接口 缺 镍 为 三 层 以 太 网 接口 ， 可 以 通过 命令 portswitch 切 换 为 二 层 以 
太 网 接口 。 


将 接口 加 入 安全 区 域 (1) 


步骤 1 选择 网 络 > 接口 > 接口 。 


步骤 2 选择 新 建 区 域 或 者 默认 区 域 
e Mii FEC- PECs 










不 允许 新 建 区 域 安 全 
级 别 和 和 默认 安 仿 区 
域 安 全 级 别 相同 。 为 
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步骤 1 选择 网 络 > 接口 > 接口 。 
步骤 2 选择 新 建 区 域 或 者 默认 区 域 。 
步骤 3 如 果 新 建 区 域 ， 配 置 区 域名 称 和 安全 级 别 。 
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将 接口 加 入 安全 区 域 (2) 


步骤 4 将 接口 加 入 安全 区 域 


e 网 络 > HSER > 安全 区 域 


将 接口 通过 “添加 ”按钮 ， 
添加 到 域 中 。 


Ro 


未 加 入 域 的 接口 


ei ||iRROAA) am A) Ees Mes | | 请 入 接口 8 
接口 名 称 接口 名 称 
FE1/0/0 GE0/0/0 


GEOION 








如 果 你 想 添加 的 接口 ， 未 出 现在 未 加 入 域 的 接口 列表 中 ， 
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步骤 4 将 接口 加 入 安全 区 域 O 


& 
& 


< 
S 
N 
Q 


Q 
O 140 
Q 


配置 域 间 缺 省 包 过 滤 规 则 


。 步骤 选择 防火 墙 > 安全 策略 > 转发 策略 ， 选 择 对 应 的 域 间 编辑 按钮 。 





HENRIK pA 
PHAR 96 NR 内 刷新 | any zone 司 ->| anyzone Y Ama | Ganws 
ID 源 地 址 目的 地 址 用 户 服务 HAR 动作 RAT HE hki BM 


日 untrust->trust 





BA any any any ip all deny 


日 tust>untrust 





RU any any any ip all deny 
3 dmz>trust 
Riu any any any ip all deny 





9 trust>dmz 





BA any any any ip all deny 





Lol quest strust 











根据 组 网 需要 修改 默 
认 包 过 小 规则 动作 。 
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。 配置 域 间 包 过 滤 规 则 
步骤 选择 防火 墙 > 安全 策略 > 转发 策略 ， 选 择 对 应 的 域 间 编辑 按钮 。 
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配置 路 由 


。 步骤 选择 路 由 > 静态 > 前 态 路 由 ， 新 建 静态 路 由 。 


e BH > BS > BORA 
新 建 静态 路 由 
v 路 由 目的 地 址 0 .0 .0 
sans 摘 码 0 .0 .0 
9 静态 路 由 > 下 一 跳 
o 等 价 路 由 接口 一 NONE 一 
9 静态 路 由 批 里 号 入 IP Link — NONE — 
o Æ thes 
Gh Hama itea se 
© @ wz 











配置 默认 路 由 的 下 于 
跳 IP 地 址 
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步骤 选择 路 由 > 静态 > 静态 路 由 ， 新 建 静 态 路 由 。 
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总 结 

。 防火 墙 的 定义 和 分 类 

。 防火 墙 的 主要 功能 和 技术 

。 防火墙 设备 管理 ~ 
。 防 火 墙 的 基本 配 轩 
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思考 题 


状态 检测 防火 墙 与 包 过 滤 防 火 墙 有 哪些 不 同 ? 
安全 区 域 与 接口 之 间 有 哪些 关系 ? 
Inbound 和 Outbound 在 域 间 包 过 滤 策 略 中 有 何不 同 ? xX 


可 靠 性 技术 IP LINK 与 静态 路 由 和 双 机 热 备 整合 后 ， 有 哪些 优 
势 ? 
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Thank you 
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@ 目标 


。 学 完 本 课程 后 ， 您 将 能 够 : 
o 理解 防火 墙 包 过 滤 技术 
o 理解 防火 墙 转发 原理 
o 理解 防火 墙 安全 策略 
o 掌握 防火 墙 安全 策略 配置 
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3 防火墙 安 全 策略 及 应 用 
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包 过 滤 技 术 


。 对 需要 转发 的 数据 包 ， 先 获取 包头 信息 ， 然 后 和 设 定 的 规则 进行 比 
较 ， 根 据 比 较 的 结果 对 数据 包 进 行 转发 或 者 丢弃 。 
。 实现 包 过 滤 的 核心 技术 是 访问 控制 列表 。 AS 












-Internet 
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包 过 滤 作为 一 种 网 络 安全 保护 机 制 ， 主 要 用 于 对 网 络 中 各 种 不 同 的 流量 是 否 转 发 做 一 
个 最 基本 的 控制 。 

传统 的 包 过 滤 防 火 墙 对 于 需要 转发 的 报 文 ， 会 先 获取 报 文 头 信息 ， 包 括 报 文 的 源 IP 地 
址 、 目 的 IP 地 址 、IP 层 所 承载 的 上 层 协 议 的 协议 号 、 源 端口 号 和 目的 端口 号 等 ， 然 后 和 预 
先 设 定 的 过 滤 规 则 进行 匹配 ， 并 根据 匹配 结果 对 报 文采 取 转 发 或 丢弃 处 理 。 


包 过 滤 防 火 墙 的 转发 机 制 是 逐 包 匹配 包 过 滤 规 则 并 检查 ， 所 以 转发 效率 低下 。 有 目前 防 


X 

















墙 基本 使 用 状态 检查 机 制 将 只 对 一 个 连接 的 首 包 进行 包 过 滤 检 查 ， 如 果 这 个 首 包 能 够 


通过 包 过 滤 规 则 的 检查 仿 并 建立 会 话 的 话 ， 后 续 报 文 将 不 再 继续 通过 包 过 滤 机 制 检测 ， 而 
是 直接 通过 会 话 表 进行 转发 有 
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包 过 滤 的 基础 是 什么 ? 


。 TCP/IP 数 据 包 示意 (图 中 IP 所 承载 的 上 层 协议 为 TCP/UDP) 


acer] 
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包 过 滤 能 够 通过 报 文 的 源 MAC 地 址 、 目 的 WAC 地 址 、 源 IP 地 址 、 目 的 |P 地 址 、 源 端口 
号 、 目 的 端口 号 、 上 层 协 议 等 信息 组 合 定义 网 络 中 的 数据 流 ， 其 中 源 IP 地 址 、 目 的 |P 地 址 
、 源 端口 号 、 目 的 端口 号 、 上 层 协 议 就 是 在 状态 检测 防火 墙 中 经 常 所 提 到 的 五 无 组 ， 也 是 
组 成 TCP/UDP 连 接 非 常 重要 的 五 个 元 素 。 
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防火 墙 安全 策略 






。 定义 
o 安全 策略 是 按 一 定 规则 检查 数据 流 是 否 可 以 通过 防火 墙 的 基本 安全 控制 
机 制 。 
规则 1: 允许 x 
o 规则 的 本 质 是 包 过 滤 。 192.168.1.1 访问 






Internet 









Trust 区 域 


。 主要 应 用 
o 对 跨 防火 墙 的 网 络 互 访 进 行 控制 
o 对 设备 本 身 的 访问 进行 控制 






规则 2 : 不 允许 
192.168.1.2 访问 
Internet 
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防火 墙 的 基本 作用 是 保护 特定 网 络 免 受 “不 信任 ”的 网 络 的 攻击 ， 但 是 同时 还 必须 人 允 
许 两 个 网 络 之 间 可 以 进行 合法 的 通信 。 安 全 策略 的 作用 就 是 对 通过 防火 墙 的 数据 流 进行 检 
验 ， 符 合 安 全 策略 的 合法 数据 流 才能 通过 防火 墙 。 

通过 防火 墙 安全 策略 可 以 控制 内 网 访问 外 网 的 权限 、 控 制 内 网 不 同安 全 级 别 的 子 网 间 
的 访问 权限 等 。 同 时 也 能 够 对 设备 杰 身 的 访问 进行 控制 ， 例 如 限制 哪些 iP 地址 可 以 通过 
Telnet 和 Web 等 方式 登录 设备 ， 控 制 网 管 服务 器 、NTP 服 务 器 等 与 设备 的 互 访 等 。 
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防火 墙 安全 策略 的 原理 


防火 墙 安全 策略 ab 


vá Policy 0: 允许 A 后 续 操 作 查找 防火 墙 安全 策略 
WA roio 1: torent Ane PRE] 






































: 步骤 3 : 
步骤 1: 
hs 默认 策略 操作 防火 墙根 据 安全 第 咀 定 又 斋 
入 数据 流 经 过 防火 墙 则 对 数据 包 进 行 处 理 
BBAABBBAAAA AA AAAA 
入 数据 流 出 数据 流 


。 防火 墙 安全 策略 作用 : 
根据 定义 的 规则 对 经 过 防火 墙 的 流量 进行 第 选 ， 并 根据 关键 字 确 定 第 选 出 
的 流量 如 何 进行 下 一 步 操作 。 
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防火 墙 安全 策略 定义 数据 流 在 防火 墙 上 的 处 理 规则 ， 防 火 墙 根据 规则 对 数据 流 进 行 处 
理 。 因 此 ， 防 火 墙 安全 策略 的 核心 作用 是 : 根据 定义 的 规则 对 经 过 防火 墙 的 流量 进行 利 选 
， 由 关键 字 确 定 第 选 出 的 流量 如 何 进行 下 一 步 操作 。 

在 防火 墙 应 用 中 ， 防 火 墙 安全 策略 是 对 经 过 防火 墙 的 数据 流 进行 网 络 安全 访问 的 基本 
手段 ， 决 定 了 后 续 的 应 用 数据 流 是 否 被 处 理 。 安 全 策略 根据 通过 报 文 的 源 地 址 、 目 的 地 址 
、 端 口号 、 上 层 协 议 等 信息 组 合 定 闫 网 络 中 的 数据 流 。 

思考 : 五 元 组 在 安全 策略 中 是 如 何 进行 匹配 的 ? 
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安全 策略 分 类 


。 域 间 安全 策略 Outbount 


ws 


。 域内 安全 策略 Trust 区 域 Untrust 区 域 
。 接口 包 过 滤 











Outbount 
Trust 区 域 
Inbount 
` 4 
ia G0/0/0 y G0/0/1 
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域 间 安 全 策略 用 于 控制 域 间 流量 的 转发 〈 此 时 称 为 转发 策略 ) ， 适 用 于 接口 加 入 不 同 
安全 区 域 的 场景 。 域 间 安 全 策略 按 iP 地 起、 时 间 段 和 服务 〈 端 口 或 协议 类 型 ) 、 用 户 等 多 
种 方式 匹配 流量 ， 并 对 符合 条 件 的 流量 进行 包 过 滤 控 制 (permit/deny) 或 高 级 的 UTM 应 用 
层 检 测 。 域 间 安 全 策略 也 用 于 控制 外 界 与 设备 本 身 的 互 访 (此 时 称 为 本 地 策略 ) ， 按 IP 地 
址 、 时 间 段 和 服务 (端口 或 协议 类 型 ) 等 多 种 方式 匹配 流量 ， 并 对 符合 条 件 的 流量 进行 包 
过 滤 控 制 (permit/deny) ， 人 允许 或 拒绝 与 设备 本 身 的 互 访 。 

缺 省 情况 下 域内 数据 流动 不 受 限制 ， 如 果 需 要 进行 安全 检查 可 以 应 用 域内 安全 策略 。 
与 域 间 安全 策略 一 样 可 以 按 忆 地 址 、 时 间 段 和 服务 (端口 或 协议 类 型 ) 、 用 户 等 多 种 方式 
匹配 流量 ， 然 后 对 流量 进行 安全 检查 。 例 如 : 市 场 部 和 财务 部 都 属于 内 网 所 在 的 安全 区 域 
Trust， 可 以 正常 互 访 舍 但 是 财务 部 是 企业 重要 数据 所 在 的 部 门 ， 需 要 防止 内 部 员工 对 服务 
器 、PC 等 的 恶意 攻击 。 所 以 在 域内 应 用 安全 策略 进行 IPS 检 测 ， 阻 断 恶 意 员 工 的 非法 访问 


o 








当 接 口 未 加 淮安 全 区 域 的 情况 下 ， 通 过 接口 包 过 滤 控制 接口 接收 和 发 送 的 IP 报 文 ， 可 
以 按 IP 地 址 SS 时 间 段 和 服务 (端口 或 协议 类 型 ) 等 多 种 方式 匹配 流量 并 执行 相应 动作 ( 
permit/deny) 。 若 于 MAC 地 址 的 包 过 滤 用 来 控制 接口 可 以 接收 哪些 以 太 网 帧 ， 可 以 按 MAC 
地 址 作 帧 的 协议 类 型 和 帧 的 优先 级 匹配 流量 并 执行 相应 动作 (permit/deny) 。 硬 件 包 过 滤 
是 在 特定 的 二 层 硬 件 接口 卡 上 实现 的 ， 用 来 控制 接口 卡 上 的 接口 可 以 接收 哪些 流量 。 硬 件 
包 过 滤 直 接 通 过 硬件 实现 ， 所 以 过 滤 速 度 更 快 。 
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防火 墙 域 旧 转发 














查 路 由 表 ' 基 于 接口 所 属 域 间 及 方向 , 查 域 间 包 过 滤 规 则 


未 命中 会 话 表 Policy0: permit 源 为 192.168.168.0 
执行 首 包 流程 
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早期 包 过 滤 防 火 墙 采取 的 是 “ 逐 包 检 测 ” 机 制 ， 即 对 设备 收 到 的 所 有 报 文 都 根据 包 过 
滤 规 则 每 次 都 进行 检查 以 决定 是 否 对 该 报 文 放行 。 这 种 机 制 严 重 影响 了 设备 转发 效率 ， 使 
包 过 滤 防 火 墙 成 为 网 络 中 的 转发 瓶颈 。 

于 是 越 来 越 多 的 防火 墙 产品 采用 了 “状态 检测 ”机 制 来 进行 包 过 滤 。“ 状 态 检 测 ” 机 
制 以 流量 为 单位 来 对 报 文 进行 检测 和 转发 ， 即 对 一 条 流量 的 第 一 个 报 文 进行 包 过 滤 规 则 检 
查 ， 并 将 判断 结果 作为 该 条 流量 的 状态 ”记录 下 来 。 对 于 该 流量 的 后 续 报 文 都 直接 根据 
这 个 “状态 ”来 判断 是 转发 还 是 丢弃 ， 而 不 会 再 次 检查 报 文 的 数据 内 容 。 这 个 “状态 ”就 
是 我 们 平常 所 述 的 会 话 表 项 ss 这 种 机 制 迅速 提升 了 防火 墙 产品 的 检测 速率 和 转发 效率 ， 已 
经 成 为 目前 主流 的 包 过 滤 栅 制 。 


在 防火 墙 一 般 是 检查 IP 报 文中 的 五 个 元 素 ， 又 称 为 “五 元 组 ”， 即 源 IP 地 址 和 目的 IP 地 
址 ， 源 端口 号 和 目的 端口 号 ， 协 议 类 型 。 通 过 判断 IP 数 据 报 文 报 文 的 五 元 组 ， 就 可 以 判断 
一 条 数据 流 相 同 的 IP 数 据 报 文 。 

其 中 TCP 协 议 的 数据 报 文 ， 一 般 情 况 下 在 三 次 握手 阶段 除了 基于 五 元 组 外 ， 还 会 计算 
及 检查 其 它 字 段 。 三 次 握手 建立 成 功 后 ， 就 通过 会 话 表 中 的 五 元 组 对 设备 收 到 后 续 报 文 进 
行 匹配 检测 以 确定 是 否 人 允许 此 报 文通 过 。 
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s in s 
查询 和 创建 会 话 
(assia) : 
i S 
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可 以 看 出 ， 对 于 已 经 存 polite, ee ars 话 表 的 报 文 要 短 很 多 。 而 
通常 情况 下 ， 通 过 对 一 条 连接 的 首 包 进行 检测 并 建立 会 话 后 ， 该 条 连接 的 绝 大 部 分 报 文 都 
不 再 需要 重新 检测 。 这 就 是 状态 检测 防 从 二 的 < 状态 检测 机 制 ， 相对 于 包 过 滤 防 火 墙 的 
“ 逐 包 检测 机 制 ” 的 改进 之 处 。 这 种 改进 使 状态 检测 防火 墙 在 检测 和 转发 效率 上 有 迅速 提 
升 。 
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状态 检测 机 制 

。 状态 检测 机 制 开 启 状 态 下 ， 只 有 首 包 通过 设备 才能 建立 会 话 表 项 ， 
后 续 包 直接 匹配 会 话 表 项 进行 转发 。 

。 状态 检测 机 制 关闭 状态 下 ， 即 使 首 包 没有 经 过 设备 ， a RB 
过 设备 也 可 以 生成 会 话 表 项 。 


Host 10.0.0.1 Server 20.0.0.1 


生生 一 一 


di 一 一 


—= ees 
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。 对 于 TCP 报 文 


o 开启 状态 检测 机 制 时 ， 首 包 〈SYN 报 文 ) 建立 会 话 表 项 。 对 除 SYN 报 文 外 的 其 他 报 文 
， 如 果 没 有 对 应 会 话 表 项 〈 设 备 没有 收 到 SYN 报 文 或 者 会 话 表 项 已 老化 ) ， 则 予以 
丢弃 ， 也 不 会 建立 会 话 表 项 。 


o 关闭 状态 检测 机 制 时 ， 任 何 格式 的 报 文 在 没有 对 应 会 话 表 项 的 情况 下 ， 只 要 通过 各 
项 安全 机 制 的 检查 ， 都 下 以 为 其 建立 会 话 表 项 。 


。 对 于 UDP 报 文 


o UDP 是 基于 无 连接 的 通信 ， 任 何 UDP 格 式 的 报 文 在 没有 对 应 会 话 表 项 的 情况 下 ， 只 要 
通过 各 项 安全 机 制 的 检查 ， 都 可 以 为 其 建立 会 话 表 项 。 


。 对 于 ICMP 报 文 
o 开启 状态 检测 机 制 时 ， 没 有 对 应 会 话 的 ICMP 应 答 报 文 将 被 丢弃 。 
o 关闭 状态 检测 机 制 时 ， 没 有 对 应 会 话 的 应 答 报 文 以 首 包 形式 处 理 
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会 话 表 项 


Host 192.168.1.1:20000 Server 1.1.1.1:23 





Client> Server 


ines HOPE | amn 


Server> Client 


目的 PP 地 址 











Session: TCP 192.168.1.1:20000 > 1.1.1.1:23 
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会 话 是 状态 检测 防火 墙 的 基础 ， 每 一 个 通过 防火 墙 的 数据 流 都 会 在 防火 墙 上 建立 一 个 
会 话 表 项 ， 以 五 元 组 ( 源 目 的 IP 地 址 、 源 目的 端口 、 协 议 号 ) 为 Key 值 ， 通 过 建立 动态 的 会 
话 表 提供 域 间 转 发 数据 流 更 高 的 安全 性 。 


。 会 话 表 包括 五 个 元 素 : 


口 


口 


源 IP 地 址 
源 端 口 
目的 IP 地 址 
目的 端口 
协议 号 
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查看 会 话 表 信息 1 


<USG> display firewall session table verbose 

Current total sessions: 1 
icmp VPN: public --> public xX 
Zone: trust --> untrust Slot: 8 CPU: O TTL: 00:00:20 Left: 00:00:19, 
Interface: GigabitEthernet6/0/0 Nexthop: 107.255.255.10 


<--packets: 134 bytes: 8040 -->packets: 134 bytes: 8040 
107.229.15.100:1280 --> 107.228.10.100:2048 
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display firewall session table [verbose] 
用 来 显示 系统 当前 的 会 话 表 项 信息 ，VerDcse 人 参数 来 控制 是 否 显示 详细 的 信息 。 
a ICMP 表示 会 话 表 的 应 用 类 型 为 GMP 协 议 。 
a trust --> untrust 表示 从 Trust 区 域 到 Untrust 区 域 方向 的 流量 建立 的 会 话 
o Interface 表示 流量 的 入 接口 。 
o Nexthop 表示 流量 的 来 一 跳 地 址 。 
a <--packets 表示 反 向 报 文 命中 的 会 话 数 ， 即 从 Untrust 到 Trust 方 向 的 报 文 数 。 
说 明 : 在 NAT 或 YPN 应 用 中 ， 反 向 会 话 的 报 文 统计 数 通 常会 有 延 时 。 
a -->packets 表示 下 向 报 文 命中 的 会 话 数 ， 即 从 Trust 到 Untrust 方 向 的 报 文 数 。 
o 107.229.15.100:1280 表示 源 IP 地 址 和 源 端口 
o 107,228.10.100:2048 表示 目的 IP 地 址 和 目的 端口 








<USG> reset firewall session table 
d 清除 系统 当前 会 话 表 项 。 
o Reset Session 表 项 操作 得 谨慎 ， 因 为 会 导致 在 运行 业务 中 断 。 
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会 话 在 转发 流程 中 的 位 置 


解析 IP 头 | 











> ARATE ; IP 头 验证 > manne 
q p 基于 首 包 的 单 ServerMap 查 找 m 获取 域 间 关 xX 
nee 首 包 , 包 攻 击 防 范 eee . 正 向 路 由 查找 | j 系 A 
Y 
fase 基于 目的 IP 和 域 的 源 地 址 转换 
| R | * (NAT) | ~ etm 
后 续 包 
eT init | i LN l 
ee | y Pse D ， 报 文 分 发 
防火 墙 基 本 转发 处 理 流程 
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当 防火 墙 收 到 报 文 后 ， 根 据 五 元 组 信息 查询 会 话 表 ， 并 根据 具体 情况 进行 操作 。 


0 170 


x ` sal + 

多 通过 协议 技术 

。 单 通 道 协议 : 通信 过 程 中 只 需 占用 一 个 端口 的 协议 。 如 : WWA 
需 占用 80 端 口 

。 多 通道 协议 : 通信 过 程 中 需 占用 两 个 或 两 个 以 上 端口 的 协议 .8 
FTP 被 动 模式 下 需 占用 21 号 端口 以 及 一 个 随机 端口 


使 用 单纯 的 包 过 滤 方 法 ， 如 何 精确 定义 
(端口 级 别 ) 多 通道 协议 所 使 用 的 端 回 





遇 到 使 用 随机 协商 端口 的 协议 ， 单 纯 的 
包 过 滤 方 法 无 法 进行 数据 流 定义 。 
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大 部 分 多 媒体 应 用 协议 〈 如 H.323、SIP) 、FFP、netmeeting 等 协议 使 用 约定 的 固定 端 
口 来 初始 化 一 个 控制 连接 ， 再 动态 的 选择 端口 用 于 数据 传输 。 端 口 的 选择 是 不 可 预测 的 ， 
其 中 的 某 些 应 用 甚至 可 能 要 同时 用 到 多 个 端口 。 传 统 的 包 过 滤 防 火 墙 可 以 通过 配置 ACL 过 
滤 规 则 匹配 单 通道 协议 的 应 用 传输 ， 保 障 内 部 网 络 不 受 攻击 ， 但 只 能 阻止 一 些 使 用 固定 端 
口 的 应 用 ， 无 法 匹配 使 用 协商 出 随机 端口 传输 数据 的 多 通道 协议 应 用 ， 留 下 了 许多 安全 隐 
患 。 
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ASPF 要 述 


e ASPF ( Application Specific Packet Filter) 是 一 种 高 级 通信 过 滤 

它 检 查 应 用 层 协 议 信息 并 且 监 控 连 接 的 应 用 层 协 议 状 态 。 对 手 特 

定 应 用 协议 的 所 有 连接 ， 每 一 个 连接 状态 信 ， 电 都 将 被 AsF EEF ARH 
于 动态 的 决定 数据 包 是 否 被 允许 通过 防火 墙 或 丢弃 。 











多 了 aL es 
WL g- s 
MA e” — 
监视 通信 过 程 中 的 报 文 动态 创建 和 删除 过 小 规 则 


丰富 的 ASPF 功 能 保证 开展 业务 时 安全 性 得 到 保证 
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ASPF 在 session 表 的 数据 结构 中 维护 着 连接 的 状态 信息 ， 并 利用 这 些 信息 来 维护 会 话 
的 访问 规则 。ASPF 保 存 着 不 能 由 访问 控制 列表 规则 保存 的 重要 的 状态 信息 。 防 火 墙 检验 数 
据 流 中 的 每 一 个 报 文 ， incre Ve le 用 户 所 定义 的 安全 规则 。 连 接 状态 
信息 用 于 智能 的 允许 /禁止 报 文 。 当 一 个 会 话 终 止 时 ，session 表 项 也 将 被 删除 ， 防 火 墙 中 
的 会 话 也 将 被 关闭 。 


ASPF 可 以 智能 的 检测 “TCP 的 三次 握手 的 信息 ”和 “拆除 连接 的 握手 信息 ”， 通 过 检 
测 握手 、 拆 连接 的 状态 检测 ,保证 一 个 正常 的 TCP 访问 可 以 正常 进行 ， 而 对 于 非 完整 的 
TCP 握 手 连 接 的 报 文 会 直接 拒绝 4 


UDP 是 无 连接 的 报 文 ， 所 以 也 没有 真正 的 UDP “连接”。 因 为 ASPF 是 基于 连接 的 ， 它 
将 对 UDP 报 文 的 源 X 目的 JP 地 址 、 端 口 进行 检查 ， 通 过 判断 该 报 文 是 否 与 所 设 定 的 时 间 段 
内 的 其 他 UDP 报 文 相 类 似 ” 而 近似 判断 是 否 存在 一 个 连接 。 


企 普 通 的 场合 天 一 般 使 用 的 是 基于 ACL 的 IP 包 过 滤 技术 ， 这 种 技术 比较 简单 ， 但 缺乏 
一 定 的 灵活 性 ， 在 很 多 杂 应 用 的 场合 普通 包 过 滤 是 无 法 完成 对 网 络 的 安全 保护 的 。 例 如 对 
于 类 似 琅 应 用 FTP 协 议 进 行 通信 的 多 通道 协议 来 说 ， 配 置 防火 墙 则 是 非常 困难 的 。 


ASPF 使 防火 墙 能 够 支持 一 个 控制 连接 上 存在 多 个 数据 连接 的 协议 ， 同 时 还 可 以 在 应 用 
非常 复杂 的 情况 下 方便 的 制订 各 种 安全 的 策略 。ASPF 监 听 每 一 个 应 用 的 每 一 个 连接 所 使 用 
的 端口 淮 打 开 合 适 的 通道 让 会 话 中 的 数据 能 够 出 入 防火 墙 ， 在 会 话 结束 时 关闭 该 通道 ， 从 
而 能 够 对 使 用 动态 端口 的 应 用 实施 有 效 的 访问 控制 。 




















OH 149 0 











` ` i 
ASPF 对 多 通道 协议 的 支持 
e ASPF (Application Specific Packet Filter) 是 针对 应 用 层 的 包 过 滤 
FTP Server 
Host 10.0.0.1 20.0.0.1 
i -9 口 与 
你 建立 数据 通道 
Session 表 FTP:10.0.0.1:4927 --> 20.0.0.1:21 
FTP:10.0.0.1:4926 --> 20.0.0.1:4952 
ServerMap 表 
Inside-Address :Port Global-Address :Port Pro AppType TTL Left 
20.0.0.1 : 4952 --- tcp FTP DATA  00:01:00%00:00:47 
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在 多 通道 协议 中 ， 如 FTP， 控 制 通道 和 数据 通道 是 分 开 的 。 数 据 通道 是 在 控制 报 文 中 
动态 协商 出 来 的 ， 为 了 避免 协商 出 来 的 通道 不 因 其 他 规则 的 限制 (如 ACL) 而 中 断 ， 需 要 
临时 开启 一 个 通道 ，Servermap 就 是 为 了 满足 这 种 应 用 而 设计 的 一 种 数据 结构 。 

FTP 包 含 一 个 预知 端口 的 TCP 控 制 通道 和 一 个 动态 协商 的 TCP 数 据 通 道 ， 对 于 一 般 的 包 
过 滤 防 火 墙 来 说 ， 配 置 安全 策略 时 无 法 预知 数据 通道 的 端口 号 ， 因 此 无 法 确定 数据 通道 的 
入 口 ， 这 样 就 无 法 配置 准确 的 安全 策略 。ASPF 技 术 则 解决 了 这 一 问题 ， 它 检测 IP 层 之 上 的 
应 用 层 报 文 信息 ， 并 动态 地 根据 报 文 的 内 容 创建 和 删除 临时 的 servermap 表 项 ， 以 允许 相关 
的 报 文通 过 。 


从 图 中 可 以 看 出 ，servermap 表 项 是 对 FTP 控 制 通 道中 动态 检测 过 程 中 动态 产生 的 ， 当 
报 文通 过 防火 墙 时 ,/ ASPE 将 报 文 与 指定 的 访问 规则 进行 比较 ， 如 果 规 则 允许 ， 报 文 将 接受 
检查 ， 否 则 报 文 直接 被 丢弃 。 如 果 该 报 文 是 用 于 打开 一 个 新 的 控制 或 数据 连接 ，ASPF 将 动 
态 的 产生 servermap 表 项 ， 对 于 回来 的 报 文 只 有 是 属于 一 个 已 经 存在 的 有 效 的 连接 ， 才 会 被 
允许 通过 防火 墙 。 在 处 理 回来 的 报 文 时 ， 状 态 表 也 需要 更 新 。 当 一 
， 该 连接 对 应 的 状态 表 将 被 删除 ， 确 保 未 经 授权 的 报 文 不 能 随便 透 过 防火 墙 。 因 此 通 
ASPF 技 术 可 以 保证 在 应 用 复杂 的 情况 下 ， 依 然 可 以 非常 精确 的 保证 网 络 的 安全 。 


Server-map 是 一 种 映射 关系 ， 当 数据 连接 匹配 了 动态 Server-map 表 项 时 ， 不 需要 再 查 
找 包 过 滤 策 略 ， 保 证 了 某 些 特殊 应 用 的 正常 转发 。 另 一 种 情况 ， 当 数据 连接 匹配 Server- 
miap 表 ， 会 对 报 文 中 IP 和 端口 进行 转换 。 


Server-map 通 常 只 是 用 检查 首 个 报 文 ， 通 道 建立 后 的 报 文 还 是 根据 会 话 表 来 转发 。 

















QO 1500 


Server Map 的 产生 








转发 多 通道 
协议 K 
转发 r 

QQ/MS NAT 

N, TFTP Server 或 

等 STUN SLB 时 | 

类 型 协议 
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多 通道 协议 会 由 客户 端 和 服务 器 之 间 的 控制 通道 动态 协商 出 数据 通道 ， 即 通信 双方 的 
端口 号 是 不 固定 的 。 而 在 配置 ASPF 功 能 后 ， 设 备 检测 到 控制 通道 的 协商 ， 根 据 关键 报 文 载 
荷 中 的 地 址 信息 动态 创建 server-map 表 项 % 用 于 数据 通道 发 起 连接 时 进行 查找 。 这 个 
server-map 表 项 包含 了 多 通道 协议 报 文 中 秒 商 的 数据 通道 的 信息 。 


QQ/MSN 等 协议 中 ， 当 用 户 登 录 之 后 ， 用 户 的 |P 地 址 和 端口 就 固定 下 来 了 ， 可 是 会 后 
该 用 户 发 起 对 话 的 另 一 方 的 PP 地 址 和 端口 号 是 不 固定 的 。 通 过 配置 STUN 类 型 的 AsPF， 当 
QQ 或 者 MSN 等 用 户 连 接 服务 器 时 设备 会 记录 下 用 户 的 IP 地 址 和 端口 信息 ， 并 动态 生成 
STUN 类 型 的 serverrmap。 这 个 serverrmap 表 项 中 仅 包 含 三 元 组 信息 ， 即 通信 一 方 的 IP 地 址 
， 端 口号 和 协议 号 。 这 样 其 他 用 户 可 以 直接 通过 该 IP 和 端口 与 该 用 户 进行 通信 。 

在 使 用 NAT SefVer 功 能 时 ， 外 网 的 用 户 向 内 部 服务 器 主动 发 起 访问 请 求 ， 该 用 户 的 IP 
地 址 和 端口 号 都 是 不 确定 的 ， 唯 一 可 以 确定 的 是 内 部 服务 器 的 IP 地 址 和 所 提供 服务 的 端口 
号 。 所 以 在 配置 NAT Server 成 功 后 ， 设 备 会 自动 生成 Server-map 表 项 ， 用 于 存放 Globle 地 址 
与 Inside 地 址 的 映射 关系 。 设 备 根 据 这 种 映射 关系 对 报 文 的 地 址 进行 转换 并 转发 。 每 个 生 
效 的 NAT server 都 会 生成 正 反 方向 两 个 静态 的 Server-map。 在 SLB 功 能 中 ， 由 于 需要 将 内 网 
多 个 服务 器 以 同 关 个 IP 地 址 对 外 发 布 ， 所 以 也 会 建立 与 NAT Server 类 似 的 Server-map 表 项 ， 
只 不 过 根据 内 网 服务 器 的 个 数 需 要 建立 1 个 正 向 表 项 和 N 个 反 向 表 项 。 


在 使 用 NAT 功 能 时 ， 如 果 配 置 了 No-PAT 参 数 ， 那 么 设备 会 对 内 网 IP 和 公 网 IP 进 行 一 对 
一 的 映射 ， 而 不 进行 端口 转换 。 此 时 ， 内 网 IP 的 所 有 端口 号 都 可 以 被 映射 为 公 网 地 址 的 对 
应 端口 ， 外 网 用 户 也 就 可 以 向 内 网 用 户 的 任意 端口 主动 发 起 连接 。 所 以 配置 NAT No-PAT 
E., “设备 会 为 有 实际 流量 的 数据 流 建立 Server-map 表 ， 用 于 存放 私 网 IP 地 址 与 公 网 IP 地 址 的 
映射 关系 。 设 备 根据 这 种 映射 关系 对 报 文 的 地 址 进行 转换 ， 然 后 进行 转发 。 
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端口 识别 对 多 通道 协议 的 支持 


。 端口 识别 是 把 非 标准 协议 端口 映射 成 可 识别 的 应 用 协议 端口 


> FTP Server 
Host 10.0.0.1 (BHEE Žž ~ 5. 
GL... 
。 配置 基本 ACL anaf 





ACL 2000-2099 
Rule permit source IP address Wildcard 
。 配置 端口 识别 〈 或 端口 映射 ) 


Port-mapping protocol-name port port-number acl acl-number 
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端口 识别 ， 也 称 端口 映射 ， 是 防火 墙 用 来 识别 使 用 非 标 准 端口 的 应 用 层 协 议 报 文 。 端 
口 映 射 支持 的 应 用 层 协议 包括 FTP、HTTP、RTSP、PPTP、MGCP、MMS、SMTP、H323、 
SIP, SQLNET. 


端口 识别 基于 ACL 进 行 ， 只 有 匹配 某 条 ACL 的 报 文 ， 才 会 实施 端口 映射 。 端 口 映 射 使 用 
基本 ACL (编号 2000~2999) 。 端 日 映射 在 使 用 ACL 过 滤 报 文 时 ， 使 用 报 文 的 目的 |P 地 址 
去 匹配 基本 ACL 中 配置 的 源 IP 地 址 。 


ACL(Access Control Lis 蕊 访问 控制 列表 是 一 系列 有 顺序 的 规则 组 的 集合 ， 这 些 规则 根据 
数据 包 的 源 地 址 、 目 的 地 址 、% 端 口号 等 来 描述 。ACL 通 过 规则 对 数据 包 进 行 分 类 ， 这 些 规 
则 应 用 到 路 由 设备 上 ， 路 由 设备 根据 这 些 规则 判断 哪些 数据 包 可 以 接收 ， 哪 些 数 据 包 需要 
拒绝 。 

ACL 分 为 以 下 四 类 : 

° mas (2000~2999) : 只 能 通过 源 IP 地 址 和 时 间 段 来 进行 流量 匹配 ， 在 一 些 只 需要 

进行 简单 匹配 的 功 和 全 g 可 以 使 用 。 

。 高 级 AGE (3000~3999) : 通过 源 IP 地 址 、 目 的 IP 地 址 、ToSs、 时 间 段 、 协 议 类 型 、 优 
先 级 、ICMP 报 文 类 型 和 ICMP 报 文 码 等 多 个 维度 来 对 进行 流量 匹配 ， 在 大 部 分 功能 中 都 
可 使 用 高 级 ACL 来 进行 精确 流量 匹配 。 

。、 基 于 MAC 地 址 的 ACL (4000~4999) : 可 以 通过 源 MAC 地 址 、 目 的 MAC 地 址 、CoS、 协 
议 码 等 维度 来 进行 流量 匹配 。 


























0 152 0 


端口 识别 对 多 通道 协议 的 支持 


。 端口 识别 是 把 非 标准 协议 端口 映射 成 可 识别 的 应 用 协议 端口 
FTP Server 


Host 10.0.0. 20.0.0.1:31 


。 ACL 3 15m Ae 
配置 基本 ley 
ACL 2000-2099 
Rule permit source IP address Wildcard 

。 配置 端口 识别 〈 或 端口 映射 ) 


Port-mapping protocol-name port port-number acl acl-number 
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。 硬件 包 过 滤 ACL (9000~9499) : 将 硬件 包 过 滤 ACL 下 发 到 接口 卡 上 后 ， 接 口 卡 通过 硬 
件 实现 包 过 滤 功能 ， 比 普通 的 软件 包 过 滤 速 度 更 快 ， 消 耗 系统 资源 更 少 。 硬 件 包 过 滤 
ACL 的 匹配 条 件 比较 全 面 ， 可 以 通过 源 IR 地 址 、 目 的 IP 地 址 、 源 MAC 地 址 、 目 的 MAC 地 
址 、CoS、 协 议 类 型 等 维度 来 进行 流量 匹配 。 
端口 映射 功能 只 对 安全 域 间 的 数据 流动 生效 ， 因 此 在 配置 端口 映射 时 ， 也 必须 配置 安 

全 区 域 和 安全 域 间 。 
思考 : ACL 所 匹配 的 应 用 厌 统 对 象 是 什么 ? 
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分 片 缓存 


。 分 片 缓存 功能 用 来 缓存 先 于 首 片 分 片 报 文 到 达 的 后 续 分 片 报 文 ， 避 
免 分 片 报 文 被 防火 墙 丢 弃 。 
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网 络 设备 在 传输 报 文 时 ， 如 果 设 备 上 配置 的 MTU (Maximum Transfer Unit) 小 于 报 文 
长 度 ， 则 会 将 报 文 分 片 后 继续 发 送 。 理 想 情 宫 焉 ， 各 分 片 报 文 将 按照 固定 的 先后 顺序 在 网 
络 中 传输 。 在 实际 传输 过 程 中 ， 可 能 存在 首 片 分 片 报 文 不 是 第 一 个 到 达 防 火 墙 的 现象 。 此 
时 ， 防 火 墙 将 丢弃 该 系列 分 片 报 文 。 为 保证 会 话 的 正常 进行 ， 缺 省 情况 下 ， 防 火 墙 支持 分 
片 缓存 功能 。 设 备 会 将 非 首 片 的 分 片 报 文 缓存 至 分 片 散 列表 ， 等 待 首 片 到 来 建立 会 话 后 ， 
将 所 有 分 片 报 文 进行 转发 。 若 在 指定 的 时 间 内 首 片 分 片 报 文 没有 到 来 ， 防 火 墙 将 丢弃 分 片 
缓存 中 的 分 片 报 文 。 


在 VPN 应 用 中 (如 IPSEC 和 GRE》， 由 于 需要 设备 对 分 片 报 文 进行 重组 后 解密 或 者 解 封装 ， 
设备 才能 进行 后 续 处 理 ， 所 以 必须 将 设备 配置 成 分 片 缓存 状态 ， 完 成 原始 报 文 重组 之 后 ， 
才 可 以 进行 相应 的 加 密 解 密 处 理 。 在 NAT 应 用 中 ， 需 要 设备 对 分 片 报 文 进行 重组 后 才能 正 
常 解析 和 转换 报 文中 的 IP 地 址 ， 所 以 也 必须 将 设备 配置 成 分 片 缓存 状态 ， 才 可 以 正常 进行 
NAT。 

分 片 报 文 直接 转发 功能 一 般 用 在 不 进行 NAT 转 换 的 情况 下 。 开 启 该 功能 后 ， 防 火 墙 将 
收 到 的 分 片 报 文 直接 转发 出 去 ， 不 创建 会 话 表 。 

。 配置 分 片 缓存 老化 时 间 

Firewall session aging-time fragment interval (1-40000) 

s、 开 启 / 关 闭 分 片 报 文 直接 转发 功能 


Firewall fragment-forward enable/disable 
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长 连接 
。 为 什么 需要 长 连接 ? 


o 防火 墙 会 话 表 老 化 机 制 
o 会 话 老化 机 制 给 特殊 业务 带 来 的 问题 
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当 一 个 TCP 会 话 的 两 个 连续 报 文 到 达 防 火 墙 的 时 间 间 隔 大 于 该 会 话 的 老化 时 间 时 ， 为 
保证 网 络 的 安全 性 ， 防 火 墙 将 从 会 话 表 申 删除 相应 会 话 信息 。 这 样 ， 后 续 报 文 到 达 防 火 墙 
后 ,防火墙 将 丢弃 该 报 文 ， 导 致 连接 电 断 ,在 实际 的 网 络 环境 中 ， 茶 些 特殊 的 业务 数据 流 
的 会 话 信息 需要 长 时 间 不 被 老化 。 为 了 解决 这 一 问题 ， 防 火 墙 支持 在 安全 域 间 配 置 长 连接 
功能 ， 通 过 引用 ACL 定 义 数 据 流 规则 ,为 匹配 ACL 规 则 的 特定 报 文 的 会 话 设置 超 长 老化 时 
间 ， 确 保 会 话 正常 进行 。 缺 省 情况 下 ,长 连接 的 老化 时 间 为 168 小 时 〈7*24 小 时 ) 。 


防火 墙 仅 支 持 对 TCP 协 议 报 交 配置 域 间 长 连接 功能 。 


状态 检测 机 制 关闭 时 ,( 非 首 包 也 可 以 建立 会 话 表 ， 所 以 此 时 不 需 使 用 长 连接 功能 也 可 
保持 业务 的 正常 运行 。 


。 配置 长 连接 老化 时 间 
Firewall long-link aging-time time 
。 开启 长 连接 功能 
Firewall interzone zone-name1 zone-name2 


lonk-link acl-number { inbound | outbound } 
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域 间 安全 策略 的 匹配 原则 


Trust 区 域 


Policy0: permit 源 为 192.168.168.0 


Policy1: deny 源 为 192.168.100.0 


缺 省 域 间 包 过 滤 规 则 








。 域 间 安 全 策略 的 分 类 
o 域 间 缺 省 包 过 滤 
o 转发 策略 
o 本 地 策略 
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。 域 间 缺 省 包 过 小 
。 当 数 据 流 无 法 匹配 域 间 安 全 策略 时 ， 产 按照 域 间 缺 省 包 过 滤 规 则 来 转发 或 丢弃 该 
数据 流 的 报 文 。 
。 转发 策略 


o 转发 策略 是 指控 制 哪些 流量 可 以 经 过 设备 转发 的 域 间 安全 策略 ， 对 域 间 ( 除 
Local 域 外 ) 转发 流量 进行 安全 检查 ， 例 如 控制 哪些 Trust 域 的 内 网 用 户 可 以 访问 
Untrust 域 的 Internet。 


。 本 地 策略 
o 本 地 策略 是 指 与 Local 安 全 区 域 有 关 的 域 间 安 全 策略 ， 用 于 控制 外 界 与 设备 本 身 
的 互 访 。 
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报 文 入 站 查找 命中 报 文 出 站 
会 话 表 说 刷新 /新 建 会 话 表 项 m 
未 命中 K 
Peon 允许 
Et ‘ge .> 
x i aren 拒绝 或 未 
报 ree 省 域 间 匹配 规则 
一 包 过 滤 
未 匹配 
vy 
查找 防 拒绝 规则 
查找 路 由 表 匹 配 
域 间 安 全 策略 火 墙 转 j 
发 策略 
允许 
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报 文 入 站 后 ， 将 首先 匹配 会 话 表 ， 如 果 命中 会 话 表 ， 将 进入 后 续 包 处 理 流程 ， 刷 新 会 
话 表 时 间 ， 并 直接 根据 会 话 表 中 的 出 接 凡 ， 转 发 数据 。 


报 文 入 站 后 ， 将 首先 匹配 会 话 表 , 如 果 没 有 命中 会 话 表 ， 将 进入 首 包 包 处 理 流程 。 依 
次 进行 黑 名 单 检查 ， 匹 配 域 间 安 全 策略 , 查找 路 由 表 ， 新 建 会 话 表 ， 转 发 数据 。 


黑 名 单 的 实现 原理 就 是 : 设备 上 建立 一 个 黑 名 单 表 。 对 于 接收 到 的 报 文 的 源 IP 地 址 存 
EFAA, MEZRA PAER? 


黑 名 单 分 类 : 
。 静态 黑 名 单 

管理 员 可 以 通过 命令 行 或 Web 方 式 手工 逐个 将 IP 地 址 添加 到 黑 名 单 中 。 
。 动态 黑 名 单 

转发 策略 和 缺 省 域 间 包 过 滤 优 先 级 


转发 策略 优先 于 缺 省 域 间 包 过 滤 匹 配 。 设 备 将 首先 查找 域 间 的 转发 策略 ， 如 果 没有 找 
到 匹配 项 将 匹配 缺 省 包 过 滤 进 行 处 理 。 


。 刷新 会 话 表 


刷新 会 话 表 主 要 是 刷新 会 话 表 老化 时 间 ， 老 化 时 间 决 定 会 话 在 没有 相应 的 报 文 匹 配 的 
情况 下， 何 时 被 系统 删除 。 


O 158 0 


配置 转发 策略 流程 


源 地 
=a EE 
目的 地 

配置 域 间 Outbound/ 
Inbound 转 发 策略 (BE 
[wm | | S| 





























ELE | 动作 
| 转发 策略 … AS 
结束 & 
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。 转发 策略 的 配置 流程 如 图 所 示 。 
。 有 两 种 思路 来 配置 转发 策略 ， 根 据 需 要 选择 。 
o 思路 1: 对 安全 性 要 求 不 高 ， 开 放 缺 省 转发 策略 ， 然 后 只 把 个 别 需 要 拒绝 的 流量 
拒绝 掉 ， 出 于 安全 性 考虑 不 建议 这 种 方式 。 
o 思路 2: 关闭 缺 省 转发 策略 , 然后 根据 需要 配置 严格 的 转发 策略 。 
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配置 转发 策略 (1) 


。 进入 域 间 安 全 策略 视图 


policy interzone zone-name1 zone-name2 { inbound | outbound } 


。 创建 转发 策略 ， 并 进入 策略 ID 视图 





policy [ policy-id ] x 
。 指定 需 匹 配 流量 的 源 地 址 (可 选 ) 


BET 
policy source { source-address { source-wildcard | 0 | mask { mask-address | mask-len } } | address-set { 
address-set-name } &<1-256> | range begin-address end-address | any } 


。 匹配 流量 的 源 地 址 的 几 种 方法 : (以 源 地 址 为 例 ) 


policy source source-address source-wildcard 





policy source source-address 0 

policy source source-address mask { mask-address | mask-len } 
policy source address-set { address-set-name } &<1-256> 
policy source range begin-address end-address 


policy source source-address any 
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举例 : 

policy interzone trust untrust outbound 
policy 0 

action permit 

policy source 192.168.168.0 0:255.0.255 
policy service service-set http 


同一 个 域 间 包 过 滤 策 略 视 图 下 可 以 为 不 同 的 流量 创建 不 同 的 策略 。 缺 省 情况 下 ， 越 先 
配置 的 策略 ， 优 先 级 越 高 ， 越 先 匹 配 报 文 。 一 旦 匹配 到 一 条 Policy ， 就 直接 按照 该 Policy 的 
定义 处 理 报 文 ， 不 再 继续 往 下 匹配 。 各 个 policy 之 间 的 优先 级 关系 可 以 通过 命令 进行 调整 


o 











在 包 过 滤 策 略 视 图 下 执行 policy policy-id { enable | disable }， 启 用 或 者 禁用 一 条 自 定 
义 策略 。 
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配置 转发 策略 (1) 


。 进入 域 间 安全 策略 视图 


policy interzone zone-name! zone-name2 { inbound | outbound } 


。 创建 转发 策略 ， 并 进入 策略 ID 视图 





policy [ policy-id ] 74 
。 指定 需 匹 配 流量 的 源 地 址 (可 选 ) 


HÆ m 


policy source { source-address { source-wildcard | 0 | mask { mask-address | mask-len } } | address-set { 
address-set-name } &<1-256> | range begin-address end-address | any } 


。 匹配 流量 的 源 地 址 的 几 种 方法 : (以 源 地 址 为 例 ) 


policy source source-address source-wildcard 





policy source source-address 0 

policy source source-address mask { mask-address | mask-len } 
policy source address-set { address-set-name } &<1-256> 
policy source range begin-address end-address 


policy source source-address any 
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source-wildcard 点 分 十 进 制 格式 的 通配符 。 


o 例如 : 192.168.1.0 0.0.0.255， 这 里 的 0.0.0.255 就 是 通配符 。 并 且 通 配 符 的 二 
制 形 式 支 持 1 不 连续 ， 例 如 : 0.25510.255. 通配符 转换 为 二 进 制 后 ， 为 ae 
是 匹配 值 GRIP) 中 需要 匹配 的 位 ， 为 “1 的 位 表示 不 需要 关注 。0.0.0.255 的 二 
进 制 形式 是 00000000 /00000000 00000000 11111111 ， 所 以 源 IP 地 址 是 
192.168.1.* 的 报 文 均 能 匹配 到 。 


0 通配符 ， 表 示 主 机 。 
mask 


o mask-addresss 指 定 掩 码 。 点 分 十 进 制 格式 ， 形 如 255.255.255.0 表 示 撞 码 长 度 为 
24。 


o mask mask-len ZEKE. 整数 形式 ， 取 值 范围 是 1~32。 
address-set 指定 地 址 集 作 为 源 IP 地 址 。 可 以 指定 1~256 个 地 址 集 


o ‘address-set-name 地 址 集 名 称 。 字符 串 形 式 ， 不 支持 空格 ， 支 持 除 “-“、 O'R 
““ 以 外 的 任意 字符 ， 长 度 范围 是 1~31 个 字符 ， 不 能 以 数字 开头 。 


range 指定 源 IP 地 址 范围 。 - 
o begin-address 起 始 IP 地 址 。 点 分 十 进 制 格式 。 
o end-address 结束 IP 地 址 。 点 分 十 进 制 格式 。 


any 指定 策略 的 源 IP 地 址 为 任意 IP 地 址 。 - 
o 1610 


如 何 使 用 反 掩 码 


。 反 掩 码 和 子 网 掩 码 格式 相似 ， 但 取 值 含义 不 同 
o 0 表示 对 应 的 IP 地 址 位 需要 比较 
o 1 表示 对 应 的 IP 地 址 位 忽略 比较 nrs 
。 反 掩 码 和 IP 地 址 结合 使 用 ， 可 以 描述 一 个 地 址 范围 
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举例 : ~ 
192.168.10.0 0.0.0.255 表 示 一 个 网 段 、 ~ 
192.168.10.1 0 表示 一 个 IP NON 


思考 : C~ e 
在 什么 情况 下 ， 会 使 用 0.255.0255 反 掩 码 ， 其 的 作用 和 意义 是 什么 ? 
此 掩 码 表示 对 IP 地 址 中 和 < 外 进行 掩 码 匹 配 ，B 和 D 段 忽略 。 





NS A 





配置 转发 策略 (2) 


。 指定 需 匹 配 流量 的 目的 地 址 (可 选 ) 
policy destination { destination-address { destination-wildcard | 0 | mask { 
mask-address | mask-len } } | address-set { address-set-name } &<1-256>-| 
range begin-address end-adadress | any }, X 


。 指定 需 匹配 济 量 的 服务 集 (可 选 ) 


policy service service-set { service-set-name } §<1-256> 


Address-setihit $ Service-set 服 务 集 ~ 


| ip address-set guest type object ! | ip service-set Internet type object 

! address 0 192.168.12.00.0.0.15 |! service protocol tcp destination-port 80 

' address 1 192.168.15.0 0.0.0.63 | ! service protocolitcp destination-port 8080 ' 
! address 2 192.168.30.0 0.0.0.127 ! i service protocol tcpřdestination-port 8443 | 
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为 简化 配置 和 维护 ， 防 火 墙 支持 引用 地 址 集 和 服务 集 。 除 了 提升 配置 和 维护 效率 外 ， 
还 使 规则 项 更 具 可 读 性 。 


通过 源 / 目 的 IP 地 址 对 流量 进行 控制 时 ， 可 以 将 连续 或 不 连续 的 地 址 加 入 地 址 集 ， 然 后 
在 策略 或 规则 中 引用 。 

通过 流量 的 服务 类 型 (端口 或 协议 类 型 ) 对 流量 进行 控制 时 ， 可 以 使 用 预定 义 的 知名 
服务 集 ， 也 可 以 根据 端口 等 信息 创建 自 定义 服务 集 ， 然 后 在 策略 或 规则 中 引用 。 预 定义 服 
务 集 是 系统 缺 省 已 经 存在 本 以 直接 选择 的 服务 类 型 。 预 定义 服务 通常 都 是 知名 协议 ， 例 如 
HTTP、FTP、Telnet 等 。 自 定 兴 服务 集 是 管理 员 通 过 指定 端口 号 等 信息 来 自行 定义 一 些 协 议 
类 型 ， 也 可 以 是 各 类 服务 集 的 组 合 。 

地 址 集 和 服务 集 支 持 2 种 type， 即 object 和 group。type 为 group 时 ， 可 以 添加 地 址 集 或 
服务 集 作为 成 员 。 
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配置 转发 策略 (3) 


。 配置 策略 生效 的 时 间 段 (可 选 ) 


policy time-range time-name 


| DMZ a | 防火 墙 
| 服务 器 一 gh 












Untrust 


l gin gh 
2013/06/15 15:15 iia 
2013/06/15 19:15 工作 时 间 人 允许 访问 服务 器 
非 工 作 时 间 禁 止 访 问 服务 器 192.168.14.0/24 
192.168.12.0/24 


。 配置 对 匹配 流量 的 包 过 滤 动 作 
action { permit | deny } 
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如 果 需 要 对 某 一 时 间 内 发 生 的 流量 进行 匹配 和 控制 ， 可 能 通过 使 用 基于 时 间 段 的 访问 
控制 列表 。 

在 网 络 应 用 中 ， 比 较 常 见 的 应 用 是 按照 时 间 段 开放 某 些 网 络 应 用 ， 例 如 : 上 班 时 间 不 
开放 服务 器 某 些 端口 ， 上 班 时间 局 域 网 的 某 些 用 户 不 能 访问 Internet 等 。 这 种 特殊 的 应 用 
前 面 所 介绍 的 各 种 访问 控制 列表 类 型 都 无 法 满足 要 求 ， 基 于 时 间 段 访问 控制 列表 可 以 精确 
的 限定 某 个 访问 控制 列表 的 生效 时 间 忆 解决 了 访问 控制 列表 在 时 间 上 一 刀 切 的 问题 。 

在 定义 时 间 段 访问 控制 列表 前 ， 首 先 要 在 防火 墙 上 定义 一 个 时 间 段 。 

在 包 过 滤 策 略 视图 下 执行 Dolicy policy-id { enable | disable }， 启 用 或 者 禁用 一 条 自 定 
义 策略 。 
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时 间 段 配置 


。 创建 时 间 段 


time-range time-name { start-time to end-time days | from time 
















































date! [to time2 date2 ] } X 
HH:MM From 某 时 间 To 某 时 间 
YYYY/MM/DD From 某 日 期 T5 某 日 期 
Mon/Tue/Wed/Thu/Fri/Sat/Sun 星期 一 /二 /四 /五 /六 /日 
daily 一 星期 申 的 每 天 
off-day 休息 日 站 星期 六 /日 ) 
Working-day IPR 星期 一 至 星期 五 ) 








Copyright © 2013Huawei Technologies Co., Ltd. All rights reserved. Page 32 w HUAWEI 








Time-range 时 间 范 围 操作 符 ， 支 持 2 种 表现 方式 。 一 种 是 绝对 时 间 段 ， 即 起 止 日 期 的 时 
间 段 ， 另 一 种 是 周期 时 间 段 ， 即 星期 方式 的 时 间 段 。 


配置 举例 : 
time-range work-policy1 08:00 to 18:00 working-day 
time-range work-policy2 from 08:00 2013/01/01 to 18:00 2013/12/31 
acl 2000 
rule permit ip source192.168.11.0 0.0.0.255 time-range work-policy1 
rule permitvip source 192.168.12.0 0.0.0.255 time-range work-policy2 
policy interzone trust untrust outbound 
policy 1 
Policy source 192.168.11.0 0.0.0.255 
policy*time-range work-policy1 
policy 2 
Policy source 192.168.12.0 0.0.0.255 


policy time-range work-policy2 
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配置 转发 策略 (Web 方 式 ) 

















新 建 转发 策略 A 
PRE trust 可 x 
目的 安全 区 域 untrust s 
源 地 址 4 (# 
目的 地 直 E pais 
用 户 S| 3% 
服务 NN | Bit 
时 间 段 all f= ed 
动作 permit p AJ) v 
ait A` gH 

~ zi 
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在 Web 配 置 界面 下 ， 配 置 转发 策略 的 步骤 为 : 
1. 选择“ 防火 墙 > 安全 策略 > 转发 策略 ”。 
2， 在 “转发 策略 列表 ”中 ， 单 击 \“ 新 建 ”。 
3.， 依 次 输入 或 选择 各 项 参数 。 

4， 单 击 “ 应 用 ”。 
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配置 本 地 策略 〈 命 令 行 ) 
。 进入 域 间 安 全 策略 视图 
。 创建 转发 策略 ， 并 进入 策略 ID 视图 


policy [ policy-id ] 
。 指定 需 匹配 流量 的 源 地 址 (可 选 ) 


。 指定 需 匹配 流量 的 目的 地 址 (可 选 ) 








。 指定 需 匹配 流量 的 服务 集 (t) 
policy service service-set { service-set-name } &<1-256>, 
。 配置 对 匹配 流量 的 包 过 滤 动作 


action { permit | deny } 








举例 : 
policy interzone trust local inbound 
policy 0 
action permit 
policy source 10.1.1.1,0 


policy service service-set telnet 


policy interzone local zone-name { inbound | outbound } 


policy source { source-address { source-wildcard | 0 | mask { mask-address | mask-len } } | address-set { 
address-set-name } &<1-256> | range begin-address end-address | any } 


policy destination { destination-address { destination-wildcard | 0 | mask { mask-address|. mask-len } } | 
address-set { address-set-name } &<1-256> | range begin-address end-address | any}, 
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xX 
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在 域 间 安 全 策略 视图 下 执行 policy policy-id { enable | disable}, 启用 或 者 禁用 一 条 策 


略 。 
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配置 本 地 策略 〈Web 方 式 ) 


性。 防火 摘 > 安全 策略 》 本 地 策略 











新 建 对 设备 访问 控制 & 
源 安全 区 域 trust y) Xx 
源 地 址 请 选择 或 输入 IP 地 址 ~ si 
服务 请 选择 服务 本 As 
时 间 自 all i, 
动作 permit af Ry 
it > SE 
A Sd 
记录 日 志 
开启 第 略 会 话 流 旦 统计 
应 用 返回 
Copyright © 2013Huawei Technologies Co., Ltd. All rights reserved. Page 35 w HUAWEI 





在 Web 配 置 界面 下 ， 配 置 本 地 策略 的 步骤 为 : 

1. 选择“ 防火 墙 > 安全 策略 > 本 地 策略 ”。 

2， 在 “对 设备 访问 控制 列表 ”中 % 单 击 “ 新 建 ”。 
3.， 依 次 输入 或 选择 各 项 参数 。 

4， 单 击 “ 应 用 ”。 
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ACS lel ike Swe MEIT) 


。 配置 防火 墙 内 部 的 所 有 域 间 缺 省 包 过 滤 
firewall packet-filter default { permit | deny } all [ direction { inbound | outbound }] 
举例 : 所 有 域 间 缺 省 包 过 滤 规 则 为 Permit 
firewall packet-filter default permit all X 


。 配置 根 防 火 墙 或 虚拟 防火 墙 内 部 的 某 个 域 间 缺 省 包 过 滤 
firewall packet-filter default { permit | deny } interzone zone-name1 zone-name? | 
inbound | outbound } ] E oY 
举例 : 源 Trust-> 目 的 Untrust 域 间 缺 省 包 过 滤 规 则 为 Permit 
firewall packet-filter default permit interzone Trust Untrust direction outbound 
。 ”查看 当前 域 间 配 置 的 缺 省 包 过 滤 规 则 
display firewall packet-filter default all 查 看 所 有 域 间 的 配置 
或 者 display firewall packet-filter default interzone zone-name1 zone-fame2 查 看 某 个 域 间 的 配置 
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USG2200/5100/5500 缺 省 出 三 配置 : 
允许 通过 : 
o Local 域 到 其 他 任意 安全 区 域 Outbound 方 向 的 报 文 
o Trust 域 到 Local 域 的 Outbound 和 Inbound 报 文 ; 
禁止 通过 : 
o 其 他 安全 区 域 间 的 折 有 方向 都 禁止 报 文通 过 。 
USG2200/USG5100 BSR/HSRiRS i) ME : 
允许 通过 : 
o 所 有 安全 区 域 间 的 所 有 方向 的 报 文 
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配置 域 间 缺 省 包 过 滤 〈Web 方 式 ) 


。 当 数 据 流 无 法 匹配 域 间 安全 策略 时 ， 会 按照 域 间 缺 省 包 过 滤 
规则 来 转发 或 丢弃 该 数据 流 的 报 文 。 
X 





修改 转发 策略 


FREE 
目的 安全 区 域 
源 地 址 A 
目的 地 址 

用 户 

服务 | 
时 间 自 wg 
动作 deny x 





ES 返回 
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可 以 通过 以 下 命令 配置 域 问 缺 省 包 过 滤 
firewall packet-filter default { permit | deny } all [ direction { inbound | outbound } ] 


根据 对 安全 性 的 要 求 进行 配置 ， 如 果 开 启 缺 省 包 过 滤 会 造成 没有 匹配 具体 安全 策略 的 
数据 流 都 允许 通 通过 设备 。 一 般 情 况 下 建议 保持 关闭 ， 然后 配置 具体 允许 哪些 数据 流 i 通过 的 


安全 策略 。 
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配置 域内 安全 策略 


。 进入 域内 安全 策略 视 
policy zone zone-name 
。 创建 域内 安全 策略 ， 并 进入 策略 ID 视 图 
policy [ policy-id ] X 
。 指定 需 匹配 流量 的 源 地 址 (可 选 ) 
policy source { source-address { source-wildcard | 0 | mask { mask-address | mask-len } } | address-set { 
address-set-name } &<1-256> | range begin-address end-address | any } 


。 指定 需 匹配 流量 的 目的 地 址 (可 选 ) 


policy destination { destination-address { destination-wildcard | 0 | mask { mask-address|. mask-len } } | 
address-set { address-set-name } &<1-256> | range begin-address end-address | any}, 


。 指定 需 匹配 流量 的 服务 集 (t) 

policy service service-set { service-set-name } &<1-256>, 
。 配置 对 匹配 流量 的 包 过 滤 动作 

action { permit | deny } 
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举例 : 
policy zone trust 
policy 0 
action deny 
policy service service-set ftp 
policy source 1.1.1:4,0 
policy destination 10.1.1.1 0 


在 域内 安全 策略 视图 下 执行 policy policy-id { enable | disable}, 启用 或 者 禁用 一 条 策 
略 。 
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配置 接口 包 过 滤 


。 进入 接口 视图 
interface interface-type interface-number 

。 在 接口 上 的 一 个 方向 上 应 用 一 条 基本 或 高 级 ACL 规 则 Xx 
firewall packet-filter acl-number { inbound | outbound } 

。 应 用 一 条 基于 MAC 地 址 的 ACL 
firewall ethernet-frame-filter ac/-number inbound 


。 应 用 一 条 硬件 包 过 滤 的 ACL 


hardware-filter ac/-number inbound 
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在 基于 基本 或 高 级 ACL 的 接口 包 过 滤 中 ,impbound 指 接口 收 到 的 报 文 ，outbound 指 接 
口 发 送 的 报 文 。 在 基于 MAC 地 址 的 包 过 滤 中 和 车 只 支持 inbound 一 个 方向 ， 即 只 对 接口 收 到 
的 报 文 进行 过 滤 。 在 硬件 包 过 滤 中 ， 只 支持 inbound 一 个 方向 ， 即 只 对 接口 收 到 的 报 文 进 


行 过 滤 。 


每 个 接口 只 能 应 用 一 条 ACL。 如 果 重 复 配 置 ， 新 配置 的 ACL 将 覆盖 旧 的 ACL。 
。 ACL 定 义 的 数据 流 有 很 大 区 别 : 


口 


口 
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基本 ACL2000~2999 仅 使 用 源 地 址 信息 进行 流量 匹配 。 

高 级 ACL3000~3999 可 以 使 用 数据 包 的 源 地 址 、 目 的 地 址 、IP 承 载 的 协议 类 型 、 
源 端口 、 目 的 端口 等 5 元 组 信息 进行 流量 匹配 。 

基于 MAC 地 址 ACL4000~4999 主 要 用 于 对 以 太 网 等 数据 链 路 层 协议 帧 头 中 的 源 
MAC 地 址 s、 目 的 MAC 地 址 、 类 型 字段 等 信息 进行 流量 匹配 。 


硬件 包 过 滤 ACL 是 一 种 特殊 的 ACL， 将 硬件 包 过 滤 ACL 下 发 到 接口 卡 上 后 ， 接 口 卡 
通过 硬件 实现 包 过 滤 功 能 ， 比 普通 的 软件 包 过 滤 速 度 更 快 ， 消 耗 系统 资源 更 少 。 
硬件 包 过 滤 ACL 的 匹配 条 件 比 较 全 面 ， 可 以 通过 源 IP 地 址 、 目 的 IP 地 址 、 源 MAC 地 
址 、 目 的 MAC 地 址 、 协 议 等 维度 来 进行 流量 匹配 。 
































配置 接口 包 过 滤 


。 进入 接口 视图 
interface interface-type interface-number 

。 在 接口 上 的 一 个 方向 上 应 用 一 条 基本 或 高 级 ACL 规 则 Xx 
firewall packet-filter acl-number { inbound | outbound } 

。 应 用 一 条 基于 MAC 地 址 的 ACL 
firewall ethernet-frame-filter ac/-number inbound 


。 应 用 一 条 硬件 包 过 滤 的 ACL 


hardware-filter ac/-number inbound 
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。 创建 高 级 ACL ， 并 进入 ACL 视 图 
acl [number | ac/-number [ vpn-instance Vpn-instance-name | | match-order { config 


| auto } ] 
。 配置 指定 协议 信息 的 高 级 ACL 规 则 


举例 : rule deny tcp souree 129.9.0.0 0.0.255.255 destination 202.38.160.0 
0.0.0.255 destination-port equaltwww 


。 查看 ACL 匹 配 情况 

<USG5000>display ACL 2001 

rule O permit source 10.32.255.0 0.0.0.255 (27 times matched) 

从 例子 中 可 以 看 出 ACL 2001 中 规则 的 匹配 情况 ， 给 故障 诊断 提供 了 依据 ， 有 具体 步骤 参 

考 故障 诊断 。 
。 ACL 的 应 用 场景 

o 防火 墙 接口 包 过 滤 应 用 

o QoS AA 

o 策略 路 由 应 用 

o 路 由 策略 应 用 

o |Psec 应 用 
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域 间 转发 策略 配置 举例 


o 在 某 企 业 中 允许 192.168.5.0/24 网 段 的 员工 访问 Internet， 但 是 在 此 网 段 
中 192.168.5.2、 192.168.53 和 192.168.5.6 的 这 几 合 PC 对 安全 性 要 肌 区 
高 ， 不 允许 上 网 。 


192.168.5.1/24 


Trust 区 域 Untrust 区 域 










卫 1.1.1.2/24 






Internet 


192.168.5.0/24 1.1.1.1/24 
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配置 思路 : 
1. 规划 转发 策略 。 


需求 是 需要 允许 192.168.5.0/24 这 个 大 范围 的 网 段 通过 ， 然 后 拒绝 这 个 范围 内 的 几 个 
特殊 IP。 这 样 需要 配置 2 条 转发 策略 令 先 配置 拒绝 特殊 |P 通 过 的 转发 策略 ， 然 后 再 配置 允许 
整个 网 段 通过 的 转发 策略 。 如 果 配 置 反 了 ， 几 个 特殊 的 IP 就 会 先 匹 配 上 大 范围 的 策略 通过 
防火 墙 了 ， 不 会 再 继续 匹配 下边 的 特殊 策略 了 。 


2. 地 址 集 规划 。 


需求 中 是 通过 IP 地 址 控制 访问 权限 ,那么 需要 在 转发 策略 中 指定 IP 地 址 作为 匹配 条 件 
。 对 于 连续 的 地 址 段 二 以 在 策略 中 直接 配置 , 但 是 对 于 零散 的 地 址 建议 配置 为 地 址 集 ,对 
地 址 集 进行 统一 控制 、 而 且 也 方便 被 其 他 策略 复 用 。 所 以 在 本 例 中 可 以 将 几 个 特殊 的 |P 地 
址 配置 成 一 个 地 址 集 。 


3. 配置 转发 策略 ， 控 制 上 网 权限 。 
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关键 配置 (命令 行 ) 


。 创建 拒绝 特殊 的 几 个 IP 地 址 访问 Internet 的 转发 策略 

USG] policy interzone trust untrust outbound 

USG-policy-interzone-trust-untrust-outbound] policy 0 

USG-policy-interzone-trust-untrust-outbound-0] policy source address-set ip_deny x 


USG-policy-interzone-trust-untrust-outbound-0] action deny 


。 创建 允许 192.168.5.0/24 这 个 网 段 访 问 Internet 的 转发 策略 


USG-policy-interzone-trust-untrust-outbound] policy 1 


USG-policy-interzone-trust-untrust-outbound-1] policy source 192.168.5.0 mask 24 











USG-policy-interzone-trust-untrust-outbound-1] action permit 
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ip_deny 地 址 集 配置 如 下 : 
[USG] ip address-set ip_deny type object 
[USG-object-address-set-ip_deny],address 192.168.5.2 0 
[USG-object-address-set-io_deny] address 192.168.5.3 0 
[USG-object-address-set-ip_deny] address 192.168.5.6 0 
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关键 配置 1 (Web) 


。 配置 名 称 为 ip_deny 的 地 址 组 


性 防 炎 增 WES WEE 
新 建 地 址 组 


和 Q 
Hf rs 
引用 地 址 或 地 址 组 可 选 Be 
= 4 
wok RAZ ~ 
| 
> 
< 
配置 PP 地 址 ob ast Ra 




















WA Huawei 
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配置 名 称 为 deny_ip 的 地 址 组 ， 将 几 个 不 允许 竺 网 的 IP 地 址 加 入 地 址 组 。 
1. 选择 “防火 墙 > 地 址 > 地 址 组 ”。 
2. 在 "地址 组 列表 "中 单 击 ， 进 入 % 新 建 地 址 组 "界面 。 
3. 配置 地 址 组 的 名 称 和 描述 信息 。 
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新 建 转 发 策略 


源 支 全 区 域 
目的 安全 区 域 
源 地 址 
目的 地 址 
用 户 

服务 


关键 配置 2 (Web) 


。 配置 拒绝 特殊 地 址 组 ip_deny 内 IP 地 址 访问 Internet 的 转发 策略 


请 选择 或 输入 IP 地 址 


请 选择 或 输入 用 户 或 用 户 组 


请 选择 服务 
all 


deny 





2 2 eS 











< R 














0 
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关键 配置 3 (Web) 


。 配置 允许 192.168.5.0/24 网 段 访问 Internet 的 转发 策略 


© 防火墙 安全 第 略 、 转发 策略 > 


新 建 转发 策略 














源 安全 区 域 trust ar 
目的 安全 区 域 untrust r 
目的 地 址 请 选择 或 输入 IP 地 址 1 BR 
用 户 i = > ee 
服务 习 | oe 
aa all ple, 
动作 permit AY vy 
i 二 一 一 一 
HE > 
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防火 墙 转发 策略 配置 步 又: 
1， 选 择 “ 防 火 墙 > 安全 策略 > 转发 策略 ”。 


2， 选 择 “ 转 发 策略 "页 签 。 中 新 建 

3， 在 “转发 策略 列表 "中 单 击 ° 
4， 输 入 或 选择 相应 参数 。 

5， 单 击 “ 应 用 * 
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总 “5 


。 防火 墙 包 过 滤 技 术 原 理 
。 防火 墙 转发 原理 
。 防火 墙 安全 策略 应 用 场景 及 配置 方法 x 
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思考 题 


包 过 滤 与 状态 检测 机 制 、 会 话 表 之 间 有 哪些 关联 关系 ? 
Server Map 表 项 的 具体 的 作用 是 什么 ? 


分 片 缓存 中 首 报 分 片 和 其 它 分 片 在 报 文 格式 上 有 何 区 别 ? 针 
包 分 片 先 到 如 何 处 理 ?” 首 包 分 片 晚 到 如 何 处 理 ? 


端口 识别 (端口 映射 ) 主 要 应 用 于 什么 场景 下 ? 
域 间 安 全 策略 Inbound 和 Outbound 有 何 区 别 ? 
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目标 
。 学 完 本 课程 后 ， 您 将 能 够 : 
o 掌握 NAT 的 技术 原理 

掌握 NAT 几 种 应 用 方式 xX 
掌握 防火 墙 的 NAT 配 置 
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NAT 产 生 背 景 


。 IPv4 地 址 日 渐 枯竭 
。 IPv6 技 术 不 能 立即 大 面积 替换 
。 各 种 延长 IPv4 寿 命 的 技术 不 断 出 现 ，NAT 就 是 其 中 之 一 。 X 
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早 在 上 世纪 90 年 代 初 ， 有 关 RFC 文 档 就 提出 iP 地址 耗 尽 的 可 能 性 。 基 于 TCP/P 协 议 的 
Web 应 用 使 互联 网 迅速 扩张 ，IPv4 地 址 申请 量 越 来 越 大 。 互 联网 可 持续 发 展 的 问题 日 益 严 
重 。 中 国 的 运营 商 每 年 向 ICANN 申 请 的 iP 地址 数量 为 全 球 最 多 。 曾 经 有 专家 预言 ， 根 据 互 
联网 的 发 展 速度 ， 到 2011 年 左右 ， 全 球 可 用 的 IPv4 地 址 资源 将 全 部 耗 尽 。 


IPv6 的 提出 ， 就 是 为 了 从 根本 生 解 决 IPv4 地 址 不 够 用 的 问题 。IPv6 地 址 集 将 地 址 位 数 从 
IPv4 的 32 位 扩展 到 了 128 位 。 对 于 网 络 应 用 来 说 ， 这 样 的 地 址 空间 几乎 是 无 限 大 。 因 此 IPv6 
技术 可 以 从 根本 上 解决 地 址 短缺 的 问题 。 但 是 ，IPv6 面 临 着 技术 不 成 熟 、 更 新 代价 巨大 等 
尖锐 问题 ， 要 想 替 换 现 有 成 熟 且 广泛 应 用 的 IPv4 网 络 ， 还 有 很 长 一 段 路 要 走 。 

既然 不 能 立即 过 渡 到 IPV6 网 络 ， 那 么 必须 使 用 一 些 技术 手段 来 延长 IPv4 的 寿命 。 而 技 
术 的 发 展 确 实 有 效 延缓 予 IPv4 地 址 的 衰竭 ， 专 家 预言 的 地 址 耗 尽 的 情况 并 未 出 现 。 其 中 广 
泛 使 用 的 技术 包括 无 类 域 间 路 由 (CIDR, Classless Inter-Domain Routing) 、 可 变 长 子 网 掩 
码 (VLSM, Variable Length Subnet Mask) 和 网 络 地 址 转换 (NAT, Network Address 
Translation) 。 
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为 什么 需要 NAT? 


。 NAT 技 术 主 要 应 用 是 实现 大 量 的 私 网 地 址 对 少量 公 网 地 址 的 转换 。 保 障 通 
信 在 基础 上 节约 IP 地 址 资源 。 
。 私 网 地 址 不 能 在 公 网 中 路 由 ， 否 则 将 导致 通信 混乱 K 


无 NAT 情 况 下 私 网 不 做 处 理 
八 网 的 诵 们 

与 公 网 的 通信 目的 IP; 123.3.2.3 
JIP: 10.1.1.1 


10.1.1.1, Ade SHE? 
不 知道 路 由 

















FTP Server 











内 网 用 户 
10.1.1.1 123.3.2.3 
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私 网 地 址 出 现 的 目的 是 为 了 实现 地 址 的 复 用 s< 提 高 iP 地 址 资源 的 利用 率 ， 为 了 满足 一 
些 实验 室 、 公 司 或 其 他 组 织 的 独立 于 Internet 这 外 的 私有 网 络 的 需求 ，RFCA (Requests For 
Comment) 1918 为 私有 使 用 留 出 了 三 企 IP 地 址 段 。 具 体 如 下 : 


o ”A 类 IP 地 址 中 的 10.0.0.0~10.255.255.255 (10.0.0.0/8) 





o ”B 类 IP 地 址 中 的 172.16.0.0~172.31.255.255 (172.16.0.0/12) 

o CIPHER AY 192.168.0:0~ 192.168.255.255 (192.168.0.0/16) 

上 述 三 个 范围 内 的 地 址 不 能 在 Internet 上 被 分 配 ， 因 而 可 以 不 必 申 请 就 可 以 自由 使 用 

内 网 使 用 私 网 地 址 ， 外 网 使 用 公 网 地 址 ， 如 果 没 有 NAT 将 私 网 地 址 转换 为 公 网 地 址 ， 
会 造成 通信 混乱 ， 最 直接 的 后 果 就 是 无 法 通信 。 

使 用 私 网 地 址 和 外 网 进行 通信 ， 必 须 使 用 NAT 技 术 进 行 地 址 转换 ， 保 证 通信 正常 。 
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NAT 技 术 的 基本 原理 


。 NAT 技 术 通 过 对 IP 报 文 头 中 的 源 地 址 或 目的 地 址 进行 转换 ， 可 以 使 大 量 的 私 
网 IP 地 址 通过 共享 少量 的 公 网 IP 地 址 来 访问 公 网 。 


将 私 网 源 地 址 替换 
BAP: 123.3.23 为 公 网 地 址 
HIP: 123.3.2.3 a | 


WIP: 10:1.1.1 


xX 



































BIB; 123.3.21 
JIP: 123.3.2.3 











将 公 网 目的 地 址 替换 
为 私 网 地 址 
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NAT 是 将 IP 数 据 报 文 报头 中 的 |P 地 址 转换 为 另 一 个 |P 地 址 的 过 程 ， 主 要 用 于 实现 内 部 网 
络 (私有 IP 地 址 ) 访问 外 部 网 络 〈 公 有 IR 地 址 9 的 功能 。 从 实现 上 来 说 ， 一 般 的 NAT 转 换 
设备 实现 NAT 功 能 的 网 络 设备 ) 都 维护 着 一 张 地 址 转换 表 ， 所 有 经 过 NAT 转 换 设 备 并 且 
需要 进行 地 址 转换 的 报 文 ， 都 会 通过 这 个 表 做 相应 的 修改 。 


地 址 转换 的 机 制 分 为 如 下 两 个 郭 分 : 
o ”内 部 网 络 主机 的 iP 地址 和 端 昌 转换 为 NAT 转 换 设备 外 部 网 络 地 址 和 端口 。 
o ”外 部 网 络 地 址 和 端 昌 转换 为 NAT 转 换 设备 内 部 网 络 主机 的 IP 地 址 和 端口 。 
也 就 是 < 私有 地 址 + 端口 = 与 < 公有 地 址 + 端口 > 之 间 相 互 转换 。 


NAT 转 换 设备 处 于 内 部 网 络 和 外 部 网 络 的 连接 处 。 内 部 的 PC 与 外 部 服务 器 的 交互 报 文 
全 部 通过 该 NAT 转 换 设 备 。 常见 的 NAT 转 换 设 备 有 路 由 器 、 防 火 墙 等 。 





O 19% 0 





E 
基于 源 IP 。 转换 的 方向 (Inbound, Outbound) X 
地 址 。 端口 是 否 转换 (No-Pat、NAPT) 





PEST ° NAT server 
IP 地 址 。 目的 NAT 
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NAT 功 能 包括 对 源 IP 地 址 进行 转换 ， 和 对 目的 上 地址 进行 转换 两 种 方式 。 
其 中 ， 基 于 源 IP 地 址 的 转换 可 以 从 以 下 两 个 方面 进行 划分 : 
转换 的 方向 。 按 照 转 换 的 方向 可 以 将 源 I|P 地 址 转换 划分 为 以 下 两 类 : 


o Inbound 方 向 : 数据 包 由 低 安 全 级 别 的 安全 区 域 向 高 安全 级 别 的 安全 区 域 方向 传 
输 时 ， 基 于 源 IP 地 址 进行 的 转换 。 


a Outbound jA: ,数据 包 由 高 安全 级 别 的 安全 区 域 向 低 安 全 级 别 的 安全 区 域 方向 
传输 时 ， 基 于 源 IP 地 址 进行 的 转换 。 


端口 是 否 转换 。 按 照 端口 是 否 转换 可 以 将 源 I|P 地 址 转换 划分 为 以 下 两 类 : 
a No-PAT( Port Address Translation A RAINAT: 主要 用 于 一 对 一 的 IP 地 址 的 转 
换 ， 端 月 不 进行 转换 。 
a NAPT(.Network Address Port Translation ) 方 式 的 NAT: 主要 用 于 多 对 一 或 多 对 
多 的 地 址 转换 ， 转 换 时 地 址 和 端口 号 同时 进行 转换 。 
按照 功能 不 同 ， 可 以 将 基于 目的 IP 地 址 的 转换 分 为 以 下 两 类 : 
NATServer: 主要 应 用 于 实现 私 网 服务 器 以 公 网 IP 地 址 对 外 提供 服务 的 场景 。 
目的 NAT: 主要 应 用 于 实现 手机 用 户 上 网 时 ， 手 机 的 缺 省 WAP 网 关 与 所 在 地 运营 商 的 














实际 WAP 网 关 不 一 致 ， 导 致 需要 修改 报 文 的 目的 网 关 地 址 的 场景 。 





OH 1919 


' 
e 转换 的 方向 (Inbound, Outbound) X 
。 端口 是 否 转换 (No-Pat, NAPT) 





‘easton 。 NAT server x 
IP 地 址 ~ 
° NAT A 
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在 某 些 场景 下 ， 既 要 对 源 I|P 地 址 进行 转换 ， 汉 要 对 目的 IP 地 址 进行 转换 ， 被 称 为 双向 
NAT。 常 见 的 场景 包括 : 


e NAT Inbound 和 NAT Server 一 起 使 用 总 主要 用 于 简化 配置 NAT Server 时 的 路 由 配置 


o 


e 域内 NAT 和 NAT Server 一 起 使 用 :主要 应 用 于 实现 私 网 用 户 以 公 网 地 址 访问 属于 同一 
安全 区 域 的 私 网 服务 器 的 场景 % 


0 120 


NATRA SIRA 


。 优点 
o 实现 |P 地 址 复 用 ， 节 约 宝贵 的 地 址 资源 
o 地 址 转换 过 程 对 用 户 透明 xX 
o 对 内 网 用 户 提供 隐私 保护 
o 可 实现 对 内 部 服务 器 的 负载 均衡 
。 缺点 
o 网 络 监控 难度 加 大 
o 限制 某 些 具体 应 用 
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NAT 技 术 除了 可 以 实现 地 址 复 用 ， 节 约 宝贵 lp 地 址 资源 的 优点 外 ， 还 有 其 他 一 些 优点 
，NAT 技 术 的 发 展 ， 也 不 断 吸收 先进 的 理念 , 激 的 来 说 ，NAT 的 优点 和 不 足 如 下 : 
。 NAT 的 优点 

可 以 使 一 个 局 域 网 中 的 多 全 主机 使 用 沙 数 的 合法 地 址 访问 外 部 的 资源 ， 也 可 以 设 定 内 
部 的 WWW、FTP、Telnet 等 服务 提供 纵 外 部 网 络 使 用 ， 解 决 了 IP 地 址 日 益 短 缺 的 问题 。 

对 于 内 外 网 络 用 户 ， 感 觉 杀 到 IP 地 址 转换 的 过 程 ， 整 个 过 程 对 于 用 户 来 说 是 透明 的 。 

对 内 网 用 户 提供 隐私 保 殷 S- 外 网 用 户 不 能 直接 获得 内 网 用 户 的 | 地址、 服务 等 信息 ， 
具有 一 定 的 安全 性 。 

通过 配置 多 个 相同 的 内 部 服务 器 的 方式 可 以 减 小 单个 服务 器 在 大 流量 时 承担 的 压力 ， 
实现 服务 器 负载 均衡 : 
。 NAT 的 不 足 

由 于 需要 对 数据 报 文 进行 |P 地 址 的 转换 ， 涉 及 IP 地 址 的 数据 报 文 的 报头 不 能 被 加 密 。 
在 应 用 居 议 中 如 果 报 文中 有 地 址 或 端口 需要 转换 ， 则 报 文 不 能 被 加 密 。 例 如 ， 不 能 使 用 
加 密 的 FTP 连 接 ' 否则 FTP 的 port 命 令 不 能 被 正确 转换 。 

网 络 监管 变 得 更 加 困难 。 例 如 ， 如 果 一 个 黑客 从 内 网 攻击 公 网 上 的 一 侣 服务器， 那么 
要 想 追 踪 这 个 攻击 者 很 难 。 因 为 在 报 文 经 过 NAT 转 换 设备 的 时 候 ， 地 址 经 过 了 转换 ， 不 能 
确定 哪 台 才 是 黑客 的 主机 。 





OH 1930 
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基于 源 IP 地 址 NAT 技 术 概述 


。 基于 源 I|P 地 址 转换 转换 


| 源 192.168.0.11 | 目的 1.1.1.1 o W 9.9.9.9 | 目的 1.1.1.1 Q 
D 





























的 1.1.1.1 

















Copyright © 2013 Huawei Technologies Co., Ltd. All rights reserved. Page 10 Ws HUAWEI 








基于 源 IP 地 址 的 NAT 是 指 对 发 起 连接 的 IP 报 文 类 中 的 源 地 址 进行 转换 。 它 可 以 实现 内 部 
用 户 访问 外 部 网 络 的 目的 。 通 过 将 内 部 主机 的 私有 地 址 转换 为 公有 地 址 ， 使 一 个 局 域 网 中 
的 多 人 台 主 机 使 用 少数 的 合法 地 址 访问 外 部 资源 ， 有 效 的 隐藏 了 内 部 局 域 网 的 主机 IP 地 址 ， 
起 到 了 安全 保护 的 作用 。 由 于 一 般 内 网 区 域 的 安全 级 别 比 外 网 高 ， 所 以 这 种 应 用 又 称 为 
NAT Outbound. 


基于 源 IP 地 址 和 端口 转换 , /一 般 情况 下 源 端口 X= 源 端口 Y， 即 保持 原 端口 信息 ， 并 表 
现在 会 话 表 项 。 此 种 转化 方式 需 保 证 会 话 表 项 的 唯一 性 。 


OH 1% 0 


NAT Outbound 与 NAT Inbound X 5] 


e NAT Outbound 
Outbound 


高 安全 区 域 低 安全 区 域 
转换 


一 一 ”| 源 9.9.9.9 | 目的 1.1.1.1 X 


全 





















源 192.168.0.11 










Untrust 


e NAT Inbound Inbound 
高 安全 区 域 转换 EZER 


源 192.168.0.11 | 目的 1.1.1.1 | — 9.9.9.9 


m; DMZ 
mele 
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目的 1.1.1.1 

















NAT Outbound 与 NAT Inbound 区 别 ， 主 要 在 于 基于 源 IP 地 址 转换 是 由 高 优先 级 至 低 优 
先 级 ， 还 是 低 优先 级 至 高 优先 级 。 他 们 的 共同 点 都 是 进行 源 |P 地 址 转换 。 


O 1%] 


基于 端口 是 否 转换 的 NAT 


e No-PAT( Port Address Translation)。 主 要 用 于 一 对 一 的 IP 地 址 的 转换 











， 端 口 不 进行 转换 。 
192.168.1.1 155.133.87.1 x 
192.168.1.2 一 > 155.133.87.2 
192.168.1.3 155,133.87.3 
192.168.1.4 








。 将 不 同 的 内 部 地 址 映射 到 同一 公有 地 址 的 不 同 端 口号 上 ， 实 现 多 对 
一 地 址 转换 。 主 要 利用 NAPT 技 术 实 现 多 对 一 地 址 转换 。 








192.168.1.1 155.133.87°Tl7111 | 
192.168.1.2 一 一 155.13387: 17112 | 
192.168.1.3 一 一 155.13387.1: [7113 | 
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NAT No-PAT 可 以 称 为 “一 对 一 地 址 转换 ”一 在 地 址 转换 过 程 中 ， 数 据 包 的 源 |P 地 址 由 
私 网 地 址 转换 为 公 网 地 址 ， 但 端口 号 不 做 转换 s 


例如 ， 地 址 池 中 的 公 网 IP 地 址 只 有 两 个 %、 由 于 一 台 私 网 主机 在 借用 其 中 的 一 个 公 网 IP 
访问 公 网 时 ,会 占用 这 个 IP 的 所 有 端口 。 因此， 这 种 情况 只 允许 最 多 有 两 合 私 网 主机 同时 
访问 公 网 ， 其 他 的 私 网 主机 要 等 到 蕉 中 一 人 台 主 机 不 再 访问 公 网 ， 它 占用 的 公 网 IP 地 址 被 释 
放 后 ， 才 可 以 再 进行 NAT 访 问 公 网 。 


网 络 地 址 端口 转换 (NAPT， Network Address Port Translation) 也 能 实现 并 发 的 地 址 
转换 。 它 允许 多 个 内 部 地 址 使 用 一 个 公有 地 址 访问 Internet ， 也 可 称 之 为 “多 对 一 地 址 转 
换 ” 或 [14 地 址 复 用 ” o 


NAPT 是 一 种 利 由 第 四 层 信 息 来 扩展 第 三 层 地 址 的 技术 ， 一 个 IP 地 址 有 65535 个 端口 可 
以 使 用 。 理 论 上 来 说 , = 个 地 址 可 以 为 其 他 65535 个 地 址 提供 NAPT 转 换 ，NAPT 还 能 将 来 
自 不 同 内 部 地 扯 的 数据 报 文 映射 到 同一 公有 地 址 的 不 同 端 口号 上 ， 因 而 仍然 能 够 共享 同一 
地 址 ， 对 比 一 对 二 或 多 对 多 地 址 转换 。 这 样 极 大 的 提升 了 地 址 空间 ， 增 加 了 IP 地 址 的 利用 
率 。 因 此 NAPT 是 最 常用 的 一 种 地 址 转换 方式 。 

在 NAPT 方 式 中 ， 还 可 以 直接 借用 设备 与 外 网 相连 的 接口 的 PP 地址 作为 转换 后 的 IP 地 址 


， 这 种 借用 接口 IP 做 NAT 的 应 用 又 称 为 easy-ip。 直 接 借用 接口 |P 地 址 作为 公 网 地 址 的 情况 下 
， 不 需要 创建 NAT 地 址 池 。 








0 1970 


基于 源 IP 地 址 转换 的 配置 〈 命 令 行 ) 


。 在 系统 视图 下 ， 配 置 NAT 地 址 池 

nat address-group group-number [group-name] start-address end-address 

在 系统 视图 下 ， 进 入 域 间 NAT 策 略 视图 Q 
nat-policy interzone zone-name1 zone-name2 {inbound | outbound} 

创建 NAT 策 略 ， 进 入 策略 ID 视图 

policy [ policy-id ] 

Policy source { source-address source-wildcard |...... } 


Policy destination { source-address source-wildcard |...... } 
Policy service service-set {service-set-name} 
action { source-nat |no-nat} 


Address-group {number | name} no-pat 
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NAT 地 址 池 是 指 用 NAT 转 换 时 用 于 分 配 的 公 网 内 地 址 范围 。 进 行 转换 时 ， 设 备 会 从 该 地 
址 池 中 随机 选择 一 个 地 址 ， 用 于 替换 报关 中 的 源 IP 地 址 。 不 进行 端口 转换 。 


进入 NAT 域 间 进 行 NAT 转 换 的 源 IP 地 址 所 在 的 两 个 安全 区 域 ， 域 间 的 方向 的 选择 与 包 过 
滤 一 致 ， 当 源 地 址 所 在 安全 区 域 的 优先 纹 比 目的 地 址 所 在 安全 区 域 高 ， 则 应 选择 outbound 
， 反 之 ， 则 应 选择 inbound。 在 NAINospat 应 用 中 ， 需 要 进行 NAT 转 换 的 源 IP 地 址 是 内 网 用 
户 的 IP 地 址 ， 所 以 此 处 的 流 的 方向 应 该 是 从 内 网 流入 外 网 。 外 网 安全 区 域 的 安全 级 别 一 般 
比 内 网 低 ， 所 以 这 里 一 般 选 择 outbS6und。 

同一 个 域 间 NAT 策 略 视图 下 可 配置 多 个 NAT 策 略 。 缺 省 情况 下 ， 越 先 配置 的 策略 ， 优 
先 级 越 高 ， 越 先 匹 配 报 文 。 

NAPT 与 NAT N6:pat 主 要 区 别 在 于 ，NAPT 除 了 转换 源 IP 地 址 外 ， 还 进行 端口 转换 ， 即 不 
需要 配置 ho-pat 参 数 。 


在 NAPT 情 况 下 , ` 若 直接 使 用 设备 与 外 网 相连 的 接口 的 IP 地 址 作为 转换 后 的 源 IP 地 址 ， 
可 执行 命令 easy-ipYinterface-type interoce-number， 配 置 NAT 策 略 直接 引用 接口 IP 地 址 。 





O 1989 





NAT 地 址 池 


。 NAT 地 址 池 是 一 些 连续 的 IP 地 址 集合 ， 当 来 自私 网 的 报 文 通过 地 址 
转换 到 公 网 |P 时 ， 将 会 选择 地 址 池 中 的 某 个 地 址 作为 转换 后 的 地 址 
o 创建 NAT 地 址 池 的 命令 为 : K 


nat address-group group-number [ group-name ] start-address end-address | 
vrrp virtual-router-ID ] 








o nataddress-group O poolO 192.168.1.1 192.168.1.100 
Il 
组 号 ”组 名 起 始 地址 终止 地 址 
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NAT 地 址 池 中 的 地 址 可 以 是 一 个 公 网 IP 地 址 ,= 也 可 以 是 多 个 公 网 IP 地 址 。 
在 配置 基于 源 IP 地 址 的 NAT 与 域内 NAT 时 ， 需 要 首先 配置 NAT 地 址 池 ， 然 后 将 NAT 地 址 


池 与 policy 绑 定 ， 通 过 选择 不 同 的 参数 六 实现 不 同 功能 的 NAT。 


在 配置 NAT 地 址 池 的 时 候 ， 地 址 池 中 的 地 址 个 数 不 能 超过 4096。 当 地 址 个 数 超过 256 


时 ， 该 地 址 池 只 能 被 No-PAT 的 方式 引用 。 


当 某 地 址 池 已 经 和 policy 关 联 时 ， 不 允许 删除 这 个 地 址 池 。 
配置 NAT 地 址 池 时 ,, 应 将 三 网 接口 地 址 和 地 址 池 配 置 在 同一 网 段 ， 即 和 分 配 的 公 网 IP 


地 址 在 同一 网 段 ; 如 果 地 址 池 所 在 网 段 与 上 网 接口 不 在 同一 个 网 段 ， 注 意 需要 在 USG 的 下 
一 跳 路 由 器 上 配置 到 地 址 池 的 路 由 。 


当 设备 同时 应 用 于 双 机 热 备 组 网 时 ， 如 果 NAT 地 址 池 地 址 与 VRRP 备 份 组 虚拟 IP 地 址 不 


在 同一 网 段 ， 不 需要 配置 vrrp 关 键 字 ; 如 果 NAT 地 址 池 中 的 地 址 与 VRRP 备 份 组 虚拟 IP 地 址 
在 同一 网 段 ， 需 要 配置 vrrp 关 键 字 ， 且 virtua/-router-id 为 NAT 出 接口 对 应 的 VRRP 备 份 组 的 ID 
。 否 则 可 能 导致 业务 中 断 。 
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基于 源 IP 地 址 转换 的 配置 (Web) 


' BRAKES NAT 》 源 NAT 
源 NAT NAT 地 址 池 


修改 NAT 地 址 池 
地 址 池 号 
地 址 池 名 称 


起 始 IP 192. 168.1, PÙ 


~ 一 


结束 IP 192 . 168 .1 254.* 


设置 地 址 池 范 围 
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在 Web 配 置 界面 中 ， 配 置 NAT 地 址 池 的 步骤 为 * 

1， 选 择 “ 防 火 墙 > NAT > JANAT NAT 地 址 池 ”。 
2.， 在 “NAT 地 址 池 列 表 ” 中 ， 单 击 “ 新 建 ”。 

3. 依次 输入 或 选择 各 项 参数 


0 2000 


基于 源 IP 地 址 转换 的 配置 (Web) 


”防火墙 ”NAT E 











源 NAT NAT 地 址 池 


新 建 源 NAT 


源 安全 区 域 
目的 安全 区 域 
源 地 址 
目的 地 址 
动作 
描述 










指定 源 和 目的 
地 址 





将 源 地 址 转换 为 
地 址 池 










© 地 址 池 中 的 地 址 指定 接 口 IP 地 址 


请 选择 NAT 地 址 池 


z 六 > 为 转换 后 的 地 址 
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基于 源 I|P 地 址 转换 的 配置 步骤 为 : 
1， 选 择 “ 防 火 墙 > NAT > JANAT SENAT”. 
2. 在 “ 源 NAT 策 略 列表 ”中 ， 单 击 “ 新 建 ”。 
3. 依次 输入 或 选择 各 项 参数 


在 使 用 Web 配 置 界面 中 ,, 没 有 单独 设置 outbound 和 inbound 的 选项 ， 对 于 inbound 和 和 
outbound 方 向 的 指定 ， 根 据 源 安全 区 域 和 目的 安全 区 域 来 确定 。 


如 果 设置 转换 后 的 IP 地 址 为 接口 IP 地 址 ， 则 该 种 方式 等 同 于 命令 行 中 的 esay ip 命 令 。 


0 2010 


为 什么 需要 NAT ALG? 


e NAT ALG (Application Level Gateway， 应 用 级 网 关 ) 是 特定 的 应 用 
协议 的 转换 代理 ， 可 以 完成 应 用 层 数据 中 携带 的 地 址 及 端口 号 信息 的 转换 


X 


以 太 网 首部 TCP 首 部 ' 应 用 数据 | 以 太 网 尾部 





NAT 可 以 转换 的 部 分 9 
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在 以 太 网 数据 帧 结构 中 ，IP 首 部 包含 32 位 的 源 P 地 址 和 32 位 的 目的 IP 地 址 ，TCP 首 部 包 
含 16 位 的 源 端口 号 和 16 位 的 目的 端口 号 。 

但 是 很 多 协议 会 通过 IP 报 文 的 数据 载荷 进行 新 端口 甚至 新 IP 地 址 的 协商 。 协 商 完 成 之 
后 ， 通 信 双 方 会 根据 协商 结果 建立 新 的 连接 进行 后 续 报 文 的 传输 。 而 这 些 协 商 出 来 的 端口 
和 IP 地 址 往往 是 随机 的 ， 管 理 员 并 下 能 为 其 提前 配置 好 相应 的 NAT 规 则 ， 这 些 协 议 在 NAT 
转换 过 程 中 就 会 出 现 问题 。 


普通 NAT 实 现 了 对 UDP 或 TCP 报 文 头 中 的 的 IP 地 址 及 端口 转换 功能 ， 但 对 应 用 层 数 据 载 
荷 中 的 字段 无 能 为 力 ， 在 许多 应 用 层 协议 中 ， 比 如 多 媒体 协议 (H.323、SIP 等 ) ~ FTP, 
SQLNET 等 ，TCP/UDP 载 荷 中 带 有 地 址 或 者 端口 信息 ， 这 些 内 容 不 能 被 NAT 进 行 有 效 的 转换 
， 就 可 能 导致 问题 w 而 NAT ALG (Application Level Gateway， 应 用 层 网 关 ) 技术 能 对 多 通 
道 协议 进行 应 用 层 报关 信 息 的 解析 和 地 址 转换 ， 将 载荷 中 需要 进行 地 址 转换 的 iP 地址 和 端 
口 或 者 需 特殊 处 理 的 字段 进行 相应 的 转换 和 处 理 ， 从 而 保证 应 用 层 通信 的 正确 性 。 


例如 ，FTP 应 用 就 由 数据 连接 和 控制 连接 共同 完成 ， 而 且 数据 连接 的 建立 动态 地 由 控 
制 连接 中 的 裁 荷 字段 信息 决定 ， 这 就 需要 ALG 来 完成 载荷 字段 信息 的 转换 ， 以 保证 后 续 数 
据 连 接 的 正确 建立 。 

为 了 实现 应 用 层 协议 的 转发 策略 而 提出 了 ASPF 功 能 。ASPF 功 能 的 主要 目的 是 通过 对 应 
用 层 协议 的 报 文 分 析 ， 为 其 开放 相应 的 包 过 滤 规 则 ， 而 NAT ALG 的 主要 目的 ， 是 为 其 开放 
相应 的 NAT 规 则 。 由 于 两 者 通常 都 是 结合 使 用 的 ， 所 以 使 用 同一 条 命令 就 可 以 将 两 者 同时 
开启 。 
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NAT ALGE EN JE FẸ 


e FTP 主 动 模式 下 的 NAT ALC 应 用 


私 网 | 公 网 
q SH 1 
Ss = 
a= X 
Host | 1 
192.168.1.2 NATIA | FTP Server 





192.168.1.2 <j-----> 8.8.8.11 H 8818.1 
1 


1 

i 

| 1 

| Host 与 FTP Server 之 间 建 立 控制 连接 | 
< i > 
| ! 
1 
i} 
: 





发 送 PORT 报 文 | 
(192.168.1.2,1084) I i 
1 


ALG 处 理 

















PORT 报 文 载荷 已 被 转换 
(8.8.8.11, 12487) 


| FTP Server 向 Host 发 起 数据 连接 
(8.8.8.11, 3004 > 8.8.8 12487) 


sae 








FIP Server 向 Host 发 起 数据 连接 | 
(8.8.8. 11, 3004 > 192.168.1.2, 1084) 





和 


1 
1 
< 





在 已 经 建立 的 数据 连接 上 进行 数据 传 攻 
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图 中 私 网 侧 的 主机 要 访问 公 网 的 FTP 服 务 器 ssNAT 设 备 上 配置 了 私 网 地 址 192.168.1.2 
到 公 网 地 址 8.8.8.11 的 上 映射， 实现 地 址 的 NAT 转 换 ， 以 支持 私 网 主机 对 公 网 的 访问 。 组 网 
中 ， 若 没有 ALG 对 报 文 载荷 的 处 理 ， 私 网 主机 发 送 的 PORT 报 文 到 达 服 务 器 端 后 ， 服 务 器 无 
法 根据 私 网 地 址 进行 寻 址 ， 也 就 无 法 建立 正确 的 数据 连接 。 整 个 通信 过 程 包括 如 下 四 个 阶 
F: 

1， 私 网 主机 和 公 网 FTP 服 务 器 安 间 通过 TCP 三 次 握手 成 功 建立 控制 连接 。 


2. 控制 连接 建立 后 ,% 私 网 主机 向 FTP 服 务 器 发 送 PORT 报 文 ， he a 
定 的 数据 连接 的 目的 地 址 和 端口 ， 用 于 通知 服务 器 使 用 该 地 址 和 端口 和 自己 进 
数据 连接 。 

3. PORT 报 诡 在 经 过 支持 ALG 特 性 的 NAT 设 备 时 ， 报 文 载荷 中 的 私 网 地 址 和 端口 会 被 
转换 成 对 应 的 公 网 地 址 和 端口 。 即 设备 将 收 到 的 PORT 报 文 载荷 中 的 私 网 地 址 
192468.132 转 换 成 公 网 地 址 8.8.8.11， 端 口 1084 转 换 成 12487。 


4. 公 网 的 FTP 服 务 器 收 到 PORT 报 文 后 ， 解 析 其 内 容 ， 并 向 私 网 主机 发 起 数据 连接 ， 
该 数据 连接 的 目的 地 址 为 8.8.8.11， 目 的 端口 为 12487 (注意 : 一 般 情况 下 ， 该 
报 交 源 端口 为 20， 但 由 于 FTP 协 议 没有 严格 规定 ， 有 的 服务 器 发 出 的 数据 连接 源 
端口 为 大 于 1024 的 随机 端口 ， 如 本 例 采 用 的 是 wftpd 服 务 器 ， 采 用 的 源 端 口 为 
3004) 。 由 于 该 目的 地 址 是 一 个 公 网 地 址 ， 因 此 后 续 的 数据 连接 就 能 够 成 功 建 
i; 从 而 实现 私 网 主机 对 公 网 服务 吕 的 访问 。 
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NAT 与 Server Map% 


e NAT ALG 通 过 server-map 表 中 的 转换 字段 ， 可 以 转换 上 层 的 信息 
。 NAT 中 生成 Server-map 表 项 的 两 种 情况 : 


4 





”配置 NAT No-PAT 














设备 会 自动 生成 | 设备 会 为 已 配置 的 
Server-map 表 项 ， 用 多 通道 协议 产生 的 
于 存放 Global 地 址 与 有 实际 流量 的 数据 
Inside 地 址 的 映射 关系 流 建立 Servermap 
表 。 
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通常 情况 下 ， 如 果 在 设备 上 配置 严格 包 过 滤 绚 那么 设备 将 只 人 允许 内 网 用 户 单方 向 主动 
访问 外 网 。 但 在 实际 应 用 中 ， 例 如 使 用 FTP 协 议 的 port 方 式 传输 文件 时 ， 既 需要 客户 端 主动 
向 服务 器 端 发 起 控制 连接 ， 又 需要 服务 器 端 主动 向 客户 端 发 起 服务 器 数据 连接 ， 如 果 设 备 
上 配置 的 包 过 滤 为 允许 单方 向 上 报 文 主动 通过 ， 则 FTP 文 件 传输 不 能 成 功 。 

为 了 解决 这 一 类 问题 ，USG 设 备 引 入 了 serverrmap 表 ，serverrmap 用 于 存放 一 种 映射 关 
系 ， 这 种 映射 关系 可 以 是 控制 数据 协商 出 来 的 数据 连接 关系 ， 也 可 以 是 配置 NAT 中 的 地 址 
映射 关系 ， 使 得 外 部 网 络 能 透 过 设备 主动 访问 内 部 网 络 。 

Æ R Server-map k >E, 如 果 一 个 数据 连接 匹配 了 Server-map 表 项 ， 那 么 就 能 够 被 设 
备 正常 转发 ， 而 不 需要 去 查 会 话 表 ， 这 样 就 保证 了 某 些 特殊 应 用 的 正常 转发 。 

e 配置 NAT Seryef 成 功 后 ， 设 备 会 自动 生成 yerver-map 表 项 ， 用 于 存放 Global 地 址 与 
Inside 地 址 的 映射 关系 % 


当 不 配置 “no-reyerse” 参 数 时 ， 每 个 生效 的 NAT Seryer 都 会 生成 正 反方 向 两 个 静态 
的 Server-map 汶 当 配 置 了 “no-reverse” 参 数 时 ， 生 效 的 NAT Server 只 会 生成 正方 向 
静态 的 Server-mqp。 用 户 删 除 NATServer 时 ，Server-map 也 同步 被 删除 。 


。 配置 NAT No-PAT 后 ， 设 备 会 为 已 配置 的 多 通道 协议 产生 的 有 实际 流量 的 数据 流 建立 
Server-map 表 。 
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NAT Server- 内 部 服务 器 


。 内 部 服务 器 (Nat Serven) 功 能 是 使 用 一 个 公 网 地 址 来 代表 内 部 服务 器 对 外 地 
址 。 











目的 202.202.1,1 | 








源 IP 地 址 。 | 目的 192.168.1.1 Ma 源 P 地 址 


， S 192.16811 202.202.1.1 a 
igd 


DMZ untrust g 


” 在 防火 墙 上 ， 专 门 为 内 部 的 服务 器 配置 一 个 对 外 的 公 网 地 址 来 代表 私 网 地 
址 。 对 于 外 网 用 户 来 说 ， 防 火 墙 上 配置 的 外 网 地 址 就 是 服务 器 的 地 址 。 
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NAT server， 即 内 部 服务 器 。NAT 隐 藏 了 内 部 网 络 的 结构 ， 具 有 “屏蔽 ”内 部 主机 的 
作用 。 但 是 在 实际 应 用 中 ， 可 能 需要 提供 给 外 部 一 个 访问 内 部 主机 的 机 会 ， 如 提供 给 外 部 
一 全 WWW 的 服务 器 ， 而 外 部 主机 根本 没有 指向 内 部 地 址 的 路 由 ， 因 此 无 法 正常 访问 。 这 
时 可 以 使 用 内 部 服务 器 (Nat Server) 功能 来 实现 这 个 功能 应 用 。 

使 用 NAT 可 以 灵活 地 添加 内 部 服务 器 。 例 如 : 可 以 使 用 202.202.1.1 等 公 网 地 址 作为 
Web 服 务 器 的 外 部 地 址 ， 甚 至 还 可 惧 使 用 202.202.1.1 :8080 这 样 的 IP 地 址 加 端口 号 的 方式 
作为 Web 的 外 部 地 址 。 

外 部 用 户 访 问 内 部 服务 器 时 ， 有 如 下 两 部 分 操作 : 

o ”防火 墙 将 外 部 用 户 的 请 求 报 文 的 目的 地 址 转换 成 内 部 服务 器 的 私有 地 址 。 

o ”防火 墙 将 内 部 服务 器 的 回应 报 文 的 源 地 址 ( 私 网 地 址 ) 转换 成 公 网 地 址 。 

防火 墙 支持 基于 安全 区 域 的 内 部 服务 器 。 例 如 ， 当 需要 对 处 于 多 个 网 段 的 外 部 用 户 提 
供 访问 服务 时 , ` 防 火 墙 结合 安全 区 域 配置 内 部 服务 器 可 以 为 一 个 内 部 服务 器 配置 多 个 公 网 
地 址 。 通 过 配置 防火 墙 的 不 同 级 别 的 安全 区 域 对 应 不 同 网 段 的 外 部 网 络 ， 并 根据 不 同安 全 
区 域 配 置 同一 个 内 部 服务 器 对 外 的 不 同 的 公 网 地 址 ， 使 处 于 不 同 网 段 的 外 部 网 络 访问 同一 
个 内 部 服务 器 时 ， 即 通过 访问 对 应 配置 的 公 网 地 址 来 实现 对 内 部 服务 器 的 访问 能 力 。 
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基于 NAT Server 的 配置 (命令 行 ) 


。 在 系统 视图 下 : 
nat server [ id ] protocol protocol-type global { global-address [ global-address-end | 
| interface interface-type interface-number } inside host-address [ host-address-end'}'[ 
vrrp { virtual-router-id | master | slave } ] [ no-reverse ] ... 


例 : nat server protocoltcp global 202.202.1.1 inside 192.168.1.1 “www 


| | NI 











IP 协 议 承载 的 协议 
类 型 转换 后 的 公 网 地 址 Ee 服务 类 型 
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NAT Server 是 最 常用 的 基于 目的 地 址 的 NATss 当 内 网 部 署 了 一 全 服务 器 ， 其 真实 |P 是 私 
网 地 址 ， 但 是 希望 公 网 用 户 可 以 通过 一 个 公 网 地 址 来 访问 该 服务 器 ， 这 时 可 以 配置 NAT 
Server， 使 设备 将 公 网 用 户 访 问 该 公 网 邮 址 的 报 文 自动 转发 给 内 网 服务 器 。 

针对 配置 NAT Server ， 有 以 下 不 同类 型 : 

对 所 有 安全 区 域 发 布 同一 个 公 网 PP，， 即 这 些 安全 区 域 的 用 户 都 可 以 通过 访问 同一 个 公 
网 1P 来 访问 内 部 服务 器 。 


SRA AI ZS MYPAL EE, 发 布 同一 个 公 网 IP 地 址 时 多 了 个 参数 no-reverse。 配 置 不 带 
no-reverse 参 数 的 nat serVer 后 ” 当 公 网 用 户 访问 服务 器 时 ， 设 备 能 将 服务 器 的 公 网 地 址 转 
换 成 私 网 地 址 ; 同时 当 服务 器 主动 访问 公 网 时 ， 设 备 也 能 将 服务 器 的 私 网 地 址 转换 成 公 
网 地 址 。 

参数 no-reverse 表 示 设 备 只 将 公 网 地 址 转换 成 私 网 地 址 ， 不 能 将 私 网 地 址 转换 成 公 网 地 
址 。 当 内 部 服务 器 主动 访问 外 部 网 络 时 需要 执行 outbound 的 nat 策 略 ， 引 用 的 地 址 池 里 必 
需 是 nat server 配 置 的 公 网 IP 地 址 ， 否 则 反 向 NAT 地 址 与 正 向 访问 的 公 网 IP 地 址 不 一 致 ， 会 
导致 网 络 连接 失败 。 

多 次 执行 带 参 数 no-reverse 的 nat server 命 令 ， 可 以 为 该 内 部 服务 器 配置 多 个 公 网 地 址 
; 未 配置 参数 no-reverse 则 表示 只 能 为 该 内 部 服务 器 配置 一 个 公 网 地 址 。 

针对 不 同 的 安全 区 域 发 布 不 同 的 公 网 IP， 即 不 同安 全 区 域 的 用 户 可 以 通过 访问 不 同 的 
公 网 IP 来 访问 内 部 服务 器 。 适 用 于 内 部 服务 器 向 不 同 的 运营 商 网 络 提供 服务 ， 且 在 每 个 运 
营 商 网 络 都 拥有 一 个 公 网 IP 的 情况 。 
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基于 NAT Server 的 配置 (Web) 


选择 映射 方式 ， 可 以 选择 
一 对 一 和 多 对 多 地 址 映射 












oe Bake SS NAT > SURGE > 
新 建 虚 拟 服务 器 


映射 方式 一 对 一 地 址 映射 


外 部 地 址 
内 部 地 址 


dg 


端口 转换 
协议 


外 部 端口 





内 部 端口 








应 用 








设置 外 部 地 址 和 内 部 地 址 ， 
此 处 的 外 部 地 址 选择 外 部 
的 接口 


选择 承载 协议 和 端口 转 
换 信 息 
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在 Web 配 置 界面 中 ， 配 置 NAT Server 的 配置 步骤 如 下 : 
1， 选 择 “ 防 火 墙 > NAT > 虚拟 服务 器 ”。 

2， 在 “虚拟 服务 器 列表 ”中 ， 单 击 “ 新 建 ”。 

3. 依次 输入 或 选择 各 项 参数 


映射 方式 一 共有 三 种 方式 却 选 , 寺 -对 一 地 址 映射 、 内 部 地 址 映射 外 部 端口 、 内 部 地 址 
映射 外 部 地 址 : 


。 一 对 一 地 址 映射 


此 种 方式 ， 将 内 部 地 址 和 外 部 地 址 进行 一 对 一 映射 ， 内 部 地 址 的 端口 和 外 部 地 址 的 端 
口 也 进行 一 对 一 映射 。 


。 内 部 地 址 映射 外 部 端口 

此 种 方式 ， 将 内 部 地 址 (单个 IP 或 者 网 段 ) 映射 为 一 个 外 部 地 址 。 当 内 部 地 址 为 单个 
IP 时 ， 外 部 地 址 对 应 配置 一 个 外 部 端口 ; 当 内 部 地 址 为 一 个 网 段 时 ， 外 部 地 址 对 应 配置 相 
同 数量 范围 的 外 部 端口 。 
。 内 部 地 址 映射 外 部 地 址 


此 种 方式 ， 将 同 网 段 内 的 内 网 服务 器 地 址 映射 为 相同 数量 且 连 续 的 公 网 |P 地 址 ， 端 口 
转换 为 可 选 配置 ， 内 部 端口 和 外 部 端口 都 只 能 配置 一 个 端口 。 
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目的 NAT 
È 和 


基站 GGSN GSR 防火 墙 WAP 网 关 





K 


。 在 移动 终端 访问 无 线 网 络 时 ， 如 果 其 缺 省 WAP 网 关 地址 与 所 在 地 运营 商 的 
WAP 网 关 地 址 不 一 致 时 ， 可 以 在 终端 与 WAP 网 关中 间 部 署 一 合 设备 ， 并 配 
置 目 的 NAT 功 能 ， 使 设备 自动 将 终端 发 往 错误 WAP 网 关 地 址 的 报 文 自 动 转 
发 给 正确 的 WAP 网 关 。 
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手机 用 户 需要 通过 登录 WAP (Wireless Application Protocol) 网 关 来 实现 上 网 的 功能 。 





目前 ， 大 量 用 户 使 用 直接 从 国外 购买 的 手机 , 这些 手 机 出 厂 时 ， 缺 省 设置 的 WAP 网 关 地 址 


与 本 国 WAP 网 关 地 址 不 符 ， 且 无 法 自行 修改 ， 从 而 导致 用 户 不 能 移动 上 网 。 为 解决 这 一 问 
题 ， 无 线 网 络 中 ， 在 WAP 网 关 与 用 户 之 间 部 署 防火 墙 。 通 过 在 设备 上 配置 目的 NAT 功 能 ， 
使 这 部 分 手机 用 户 能 够 正常 获取 网 络 资源 。 


当 手 机 用 户 上 网 时 ， 目 的 NAT 处 理 过 程 如 下 : 


ls 


2. 











当 手 机 用 户 上 网 时 请 求 报 文 经 过 基站 及 其 他 中 间 设 备 到 达 防 火 墙 。 
到 达 防 火 墙 的 报 文 如 果 匹 配 防 火 墙 上 所 配置 的 目的 NAT 策 略 ， 则 将 此 数据 报 文 的 
目的 |P 地 址 转换 为 已 配置 好 的 WAP 网 关 的 IP 地 址 ， 并 送 往 WAP 网 关 。 

WAP 网 关 对 手机 客户 端 提供 相应 的 业务 服务 (如 视频 服务 、 网 页 服务 等 ) ， 并 将 
回应 报 文 发 往 防 火 墙 。 

回应 报 文 在 防火 墙 上 命中 会 话 ， 防 火 墙 转 换 该 报 文 的 源 IP 地 址 ， 并 将 该 报 文 发 往 
手机 用 户 ， 完 成 一 次 通信 。 





























这 里 我 们 可 以 把 WAP 网 关 理 解 为 代理 服务 器 。 
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基于 目的 NAT 的 配置 (命令 行 ) 


。 在 系统 视图 下 ， 进 入 安全 区 域 视图 ， 配 置 目的 NAT 


firewall zone [ name ] zone-name 








destination-nat ac/-number address ip-address [ port port-number | Y 


。 举例 : 
[USG] firewall zone trust 


[USG-zone-trust] destination-nat 3333 address 202.1.1.2 
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目的 NAT， 是 通过 ACL 标 识 需 转发 目的 IP 地 址 的 数据 流 ，ACL 是 达成 此 应 用 场景 的 关键 


， 即 需要 了 人 解 目 前 WAP 网 关 IP 地 址 有 哪些 ， 然 后 再 通过 ACL 对 WAP 网 关 IP 地 址 进行 定义 。 
备注 : 目的 NAT 不 支持 与 NAT ALG 同 时 使 用 。 


此 处 的 ACL， 应 该 严格 配置 ， 避 免 非 WAP 业 务 数据 流 被 destination-nat 命 令 引 用 ， 从 而 
导致 非 WAP 业 务 中 断 。 


此 处 只 能 引用 范围 为 3000 之 3999 的 高 级 ACL。 
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基于 目的 NAT 的 配置 (Web ) 


源 安 全 区 域 通常 为 用 户 所 属 的 安 
全 区 域 。 源 地 址 为 来 自 源 安全 区 
域 的 报 文 的 源 IP 地 址 。 

















© BRASS NAT > 目的 NAT > 


新 建 目的 NAT 策 略 
源 安全 区 域 
源 地 址 
目的 地 址 
服务 ip 


时 间 自 all w 


动作 permit ~ 


转换 后 的 |P 地 址 . 
转 执 后 的 端口 1-50000> 


返回 








配置 转换 后 的 IP 地 址 通常 为 本 地 
运营 商 的 NAP 网 关 的 IP 地 址 
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在 Web 配 置 界面 中 ， 基 于 目的 的 NAT 配 置 步 又 如 下 : 
1， 选 择 “ 防 火 墙 > NAT > 目的 NATS。 

2， 在 “目的 NAT 策 略 列表 ”中 ， 单 击 “新 建 ”。 
3， 依 次 输入 或 选择 各 项 参数 


在 配置 参数 中 ， 源 安全 区 域 通常 为 用 户 所 属 的 安全 区 域 ， 转 换 后 的 |P 地 址 为 目的 |P 地 
址 ， 通 常 为 本 地 运营 商 的 WAP 网 关 的 IP 地 址 。 


0 210 


© 目录 





1. 网 络 地 址 转换 技术 介绍 

2. 基于 源 IP 地 址 NAT 技 术 

3. 基于 目的 IP 地 址 NAT 技 术 xX 
4. 双向 NAT 技 术 


5 NAT 应 用 场景 配置 
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双向 NAT 技 术 


。 双向 NAT 两 种 应 用 场景 : 
a NAT Server + NAT Inbound 


a NAT Server + 域内 NAT 
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双向 NAT 应 用 场景 的 通信 双方 访问 对 方 的 时 候 目 的 地 址 都 不 是 真实 的 地 址 ， 而 是 NAT 
转换 后 的 地 址 。 而 outbound 方 向 、inbound 方 向 、 内 部 服务 器 等 应 用 都 是 只 是 针对 某 一 方 
来 进行 地 址 转换 。 


一 般 来 说 ， 内 网 属于 高 优先 级 区 域外 网 属于 低 优先 级 区 域 。 当 低 优 先 级 安全 区 域 的 
外 网 用 户 访问 内 部 服务 器 的 公 网 地 址 时 $ 会 将 报 文 的 目的 地 址 转换 为 内 部 服务 器 的 私 网 地 
址 ， 但 内 部 服务 器 需要 配置 到 该 公 网 她 址 的 路 由 。 

如 果 要 避免 配置 到 公 网 地 址 的 路 由 ， 则 可 以 配置 从 低 优 先 级 安全 区 域 到 高 优先 级 安全 
区 域 方向 的 NAT， 即 inbourid 方向 的 NAT。 同 一 个 安全 区 域内 的 访问 需要 作 NAT， 则 需要 配 
置 域内 NAT 功 能 。 
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域 旧 双向 NAT 


NAT Inbound 
DMZ 私 网 IP 地 址 Untrust 
= 2.2.25 © - 
| J 192.168.1.1 F *® C4 
4 < h 
网 服务 器 92.168.1.5 Meth 








202.20.1.5 


。 为 了 简化 配置 服务 器 至 公 网 的 路 由 ， 可 在 NAT SerVer 基 础 上 ， 增 加 
NAT Inbound 配 置 。 
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当 配 置 NAT Server 时 ， 服 务 器 需要 配置 到 公 网 季 址 的 路 由 才 可 正常 发 送 回 应 报 文 。 如 
果 要 简化 配置 ， 避 免 配 置 到 公 网 地 址 的 路 由 ,人 则 可 以 对 外 网 用 户 的 源 IP 地 址 也 进行 转换 ， 
转换 后 的 源 IP 地 址 与 服务 器 的 私 网 地 址 在 同一 网 段 。 这 样 内 部 服务 器 会 缺 省 将 回应 报 文 发 
给 网 关 ， 即 设备 本 身 ， 由 设备 来 转发 回应 报 文 。 由 于 外 网 安全 区 域 的 安全 级 别 一 般 比 内 网 
低 ， 所 以 这 种 应 用 又 称 为 NAT Inbound. 
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域内 双向 NAT 


。 防火 墙 将 用 户 的 请 求 报 文 的 目的 地 址 转换 成 FTP 服 务 器 的 内 网 IP 地 址 
， 源 地 址 转换 成 用 户 对 外 公布 的 IP 地 址 。 

。 防火 墙 将 FTP 服 务 器 回应 报 文 的 源 地 址 转换 成 对 外 公布 的 地 址 ， ENG 
的 地 址 转换 成 用 户 的 内 网 IP 地 址 。 





服务 器 公 网 地 址 ”器 
202.202.1.1 


用 户 公 网 地 址 
202.202.1.5 
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Fi fs SOL PIAA EL] —F REA BARES 7 ANATH TEL. FTP 


服务 器 和 用 户 均 在 Trust 区 域 ， 用 户 访问 所 P 服 务 器 的 对 外 的 公 网 |P 地 址 ， 这 样 用 户 与 FTP 服 

务 器 之 间 所 有 的 交互 报 文 都 要 经 过 防火 墙 。 这 时 需要 同时 配置 内 部 服务 器 和 域内 NAT。 
域内 NAT 是 指 当 内 网 用 户 和 服务 器 部 署 在 同一 安全 区 域 的 情况 下 ， 仍 然 希望 内 网 用 户 

只 能 通过 访问 服务 器 的 公 网 地 址 的 场景 8 在 实现 域内 NAT 过 程 中 ， 既 要 将 访问 内 部 服务 器 


的 报 文 的 目 





址 。 





的 地 址 由 公 网 地 址 转换 性 私 网 地 址 ， 又 需要 将 源 地址 由 私 网 地 址 转换 为 公 网 地 
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© 目录 
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NAT 典 型 应 用 场景 


Untrust 区 域 



















。 应 用 场景 分 析 
SS S o NAT Outbound YH 
\ ~ De o NAT Server 应 用 X 
\ 202.169.10.1/29 
192.168.20.1/24 \ 
DMZ 区 域 192.168. 0 .1/24 
/ > ™ 
a t 3 q N 四 
Trust 区 域 
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防火 墙 NAT outbound 配 置 (命令 行 ) 


。 配置 域 间 访 问 规则 。 
= 指定 源 地 址 为 192.168.0.0 网 段 。 (具体 配置 步 又 省 略 ) 
。 配 置地 址 池 。 X 
[USG]nat address-group 1 202.169.10.2 202.169.10.6 


e 配置 NAT Outbound $ 


[USG]nat-policy interzone trust untrust outbound 
[USG-nat-policy-interzone-trust-untrust-outbound]policy 0 
[USG-nat-policy-interzone-trust-untrust-outbound-O]policy source 192.168.0.0 0.0.0.255 
[USG-nat-policy-interzone-trust-untrust-outbound-0]action source-nat 


[USG-nat-policy-interzone-trust-untrust-outbound-0]address-group 1 
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域 间 访 问 规则 配置 命令 参考 : 

[USG]policy interzone trust untrust outbound 
[USG-policy-interzone-trust-untrust-outbound]policy 0 
[USG-policy-interzone-trust-untrust-outbound-O]policy source 192.168.0.0 0.0.0.255 
[USG-policy-interzone-trust-untrust-outbound-OJaction permit 


配置 NAT outbound， 是 为 了 实现 内 网 员工 对 外 部 网 络 进行 访问 时 进行 NAT 地 址 转换 ， 
数据 流向 是 从 高 安全 级 别 到 低 安 全 级 别 ， 因 此 源 地 址 应 该 为 内 部 网 络 的 地 址 网 段 。 而 为 内 
网 用 户 分 配 的 地 址 池 ， 应 该 为 外 网 地 址 网 段 用 于 对 internet 资 源 进 行 访问 。 


0 218 






防火 墙 NAT outbound 配 置 (Web) 


。 配置 NAT 地 址 池 
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防火 墙 NAT outbound 配 置 (Web) 


e 配置 NAT Outbound 策 略 









新 建 源 NAT 





在 本 例 中 是 为 了 实现 
trust 区 域 的 用 户 访问 
untrust 区 域 internet 














. 将 源 地 址 转换 为 OP ena. Wd 接口 P 地 址 
的 资源 ， 因 此 源 安全 地 址 池 tN | x): 
区 域 为 tusf， 目 的 安 Z stire 
全 区 域 为 untrust。 
NE 
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源 安全 区 域 通常 为 转换 前 的 私 网 IP 地 址 所 在 的 安全 区 域 。 在 本 例 中 为 trust 区 域 。 目 的 
安全 区 域 通常 为 转换 后 的 公 网 IP 地 址 所 在 的 安全 区 域 。 在 本 例 中 为 untrust 区 域 。 


QO 2200 


防火 墙 NAT Server 配 置 (命令 行 ) 


。 配置 内 部 Web 和 FTP 服 务 器 。 
[USG] nat server protocol tcp global 202.169.10.1 80 inside 192.168.20.2 8080 
[USG] nat server protocol tcp global 202.169.10.1 ftp inside 192.168.20.3 ftp 

。 配置 域 间 包 过 滤 规 则 。 xX 
[USG] policy interzone dmz untrust inbound 
[USG-policy-interzone-dmz -untrust-inbound] policy 0 
[USG-policy-interzone- dmz -untrust-inbound-0] policy destination 192.168.20.2 0 
[USG-policy-interzone- dmz -untrust-inbound-0] policy service service-set http 
[USG-policy-interzone- dmz -untrust-inbound-0] action permit 
[USG-policy-interzone- dmz -untrust-inbound] policy 1 
[USG-policy-interzone- dmz -untrust-inbound-1] policy destination 192.168.20:3 0 
[USG-policy-interzone-dmz -untrust-inbound-1] policy service service-set ftp 
[USG-policy-interzone- dmz -untrust-inbound-1] detect ftp 


[USG-policy-interzone- dmz -untrust-inbound-1] action permit 
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USG 上 同时 配置 NAT 和 内 部 服务 器 时 , ,内 部 服务 器 优先 级 较 高 ， 首 先 起 作用 。 


多 个 不 同 内 部 服务 器 使 用 一 个 公有 地 址 对 外 发 布 时 ， 可 以 多 次 使 用 nat server 命令 对 
其 进行 配置 。 配 置 参数 zone， 可 以 使 内 部 服务 器 访问 该 zone 时 候 做 NAT 服务 器 逆向 转换 
。 当 一 个 用 户 和 内 部 服务 器 处 于 同一 安全 区 域 时 ，USG 统 一 安全 网 关 人 允许 该 用 户 使 用 内 部 
服务 器 的 公 网 IP 地 址 访问 该 内 部 服务 器 。 允许 外 部 网 络 访问 的 内 部 服务 器 通常 置 于 USG A 
一 安全 网 关 的 DMZ 安 全 区 域 。 不 建议 配置 允许 这 个 安全 区 域 中 的 设备 主动 向 外 发 起 连接 
。 当 统一 安全 网 关 同时 应 用 于 双 机 热 备 组 网 时 ， 如 果 转 换 后 的 NAT 服务 器 地 址 与 VRRP 备 
份 组 虚拟 IP 地 址 不 在 同一 网 段 , 则 不 必 配置 携 带 vrrp 关 键 字 的 nat server 命令 。 如 果 转 换 
后 的 NAT 服务 器 地 址 与 VRRP 备份 组 的 虚拟 IP 地 址 在 同一 网 段 ， 则 需要 配置 相关 命令 ， 且 
virtual-router-ID 为 统 六 安全 网 关 NAT 服务 器 出 接口 对 应 的 VRRP 备 份 组 的 ID。 
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防火 墙 NAT Server 配 置 (Web) 


。 配置 内 部 Web 和 FTP 服 务 器 。 





一 对 一 地 址 映射 








应 用 返回 
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Sh ABH FN A 
部 地 址 ， 外 部 
地 址 为 供 外 部 
用 户 访问 的 公 
网 IP 地 址 ， 内 
部 地 址 为 局 域 
网 服务 器 地 址 。 





WA Huawei 


配置 NAT Server 时 ， 外 部 地 址 为 内 部 服务 器 提供 给 外 部 用 户 访问 的 公 网 |P 地 址 。 
内 部 地 址 为 内 部 服务 器 在 局 域 网 中 的 IP 地 十。 
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防火 墙 NAT Server 配 置 (Web) 


。 配置 域 间 安 全 转发 策略 。 






新 建 转发 策略 
























通过 设置 源 
和 目的 安全 
区 域 来 确认 untrust 
数据 流转 发 ee = 
方向 。 此 处 i 请 选择 或 输入 IP 地 址 Sit 
为 inbound 目的 地 址 192.168.20.2/24 { ~| | sit 
方向 。 用 户 heim \ APRA “~~ oF ie 
服务 http > . ‘i | Sit 
时 间 段 all cr} x 
动作 permit As v 
描述 Da i 
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在 Web 配 置 界面 中 ， 配 置 域 间 包 过 滤 规 则 的 步骤 为 : 
1. 选择“ 防火 墙 > 安全 策略 > 转发 策略 ”。 
2， 在 “转发 策略 列表 ”中 ， 单 击 \ 新 建 ”。 

3， 依 次 输入 或 选择 各 项 参数 。 


使 用 Web 配 置 方式 配置 域 间 安全 转发 策略 时 ， 没 有 单独 的 地 方 指定 inbound 或 
outbound 方 向 ， 因 此 需要 确定 源 安 全 区 域 和 目的 安全 区 域 来 区 分 数据 流 方向 。 
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NAT 双 出 口 实例 


。 组 网 需求 
。 两 个 不 同 运营 商用 户 需要 访问 同一 内 网 服务 器 资源 ; 
。 内 网 用 户 通过 两 个 运营 商 访问 互联 网 ， 如 图 所 示 : 111sp4 K 


FTP Server pC3 


10.1.1.2/24 10.1.1.3/24 GE 0/0/4 
1.1.1.1/24 iS 


GE 0/0/3 
10.1.1.1/24 







= 
‘ 


10.1.17.0/24 






GE 0/0/5 
2.2.2.1/24 í 


PC2 
2.2.2.5/24 





I 
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在 该 例 中 ， 这 个 企业 从 每 个 运营 商 处 都 获取 到 了 一 个 公 网 IP 地 址 ， 为 了 保证 所 有 用 户 
的 访问 速度 ， 需 要 让 不 同 运 营 商 的 用 户 通过 访问 相应 的 运营 商 的 IP 来 访问 公司 提供 的 服务 
， 而 不 需要 经 过 运营 商 之 间 的 中 转 。 同 时 ,W 寺 于 企业 内 网 的 用 户 也 可 以 通过 两 个 运营 商 所 
提供 的 网 络 访问 到 internet 资 源 。 


ISP1 和 ISP2 作 为 internet 运 营 商 注 两 者 都 连接 internet 并 可 以 互通 。 
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NAT 双 出 口 实 例 配置 思路 






配置 NAT 
Outbound 


azg 配置 静态 路 
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配置 静态 路 由 以 实现 从 内 网 用 Pa 人 so 


\ 


& 


rey 
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NAT Outbound 双 出 口 配 置 1 (命令 行 ) 


。 创建 安全 区 域 。 为 ISP1 和 ISP2 分 别 创建 一 个 安全 区 域 。 

USG] firewall zone name ISP1 

USG-zone-isp1] set priority 10 

USG] firewall zone name ISP2 X 
USG-zone-isp2] set priority 20 

。 配置 各 接口 的 PP 地 址 ， 并 将 其 加 入 相应 的 安全 区 域 。 (MAAR) 

。 配置 域 间 安全 转发 策略 。 开 启 内 网 到 ISP1 和 ISP2 区 域 的 0uib6Ung 方 向 策略 
[USG] policy interzone trust isp1 outbound 

USG-policy-interzone-trust-isp1-inbound] policy 0 


USG-policy-interzone-trust-isp1-inbound-0] policy destination 1.1/1.5 0 





USG-policy-interzone-trust-isp 1-inbound-0] action permit 
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配置 各 接口 的 PP 地 址 ， 并 将 其 加 入 安全 区 域 宇 配置 命令 参考 : 
[USG] interface GigabitEthernet 0/0/3 
[USG-GigabitEthernet0/0/3] ip address\10.1.1.1 24 
[USG] interface GigabitEthernet 0/0/4 
[USG-GigabitEthernet0/0/4] ipaddress 1.1.1.1 24 
[USG-GigabitEthernet0/0/4] quit 
[USG] interface GigabitEthernet 0/0/5 
[USG-GigabitEthernet0/0/5] ip address 2.2.2.1 24 
[USG] firewall zone trust 
[USG-zone-trustladd interface gigabitetherent 0/0/3 
[USG] firewall zone isp1 
[USG-zone-isp1]add interface gigabitetherent 0/0/4 
[USG]firewall zone isp2 


[USG-zone-isp2]add interface gigabitetherent 0/0/5 
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NAT Outbound 双 出 口 配 置 2〈 命 令 行 ) 


。 配置 静态 路 由 ， 保 证 路 由 可 达 。 
假设 通过 ISP1 和 IlSP2 访 问 internet 资 源 的 下 一 跳 地 址 分 别 为 1.1.1.2/24 和 2.2.2.2/244 
(具体 步骤 省 略 ) K 
。 配置 NAT Outbound 策 略 (isp2 策 略 步 又 省 略 ) 
[USG]nat-policy interzone trust isp1 outbound 
[USG-nat-policy-interzone-trust-untrust-outbound]policy 0 
[USG-nat-policy-interzone-trust-untrust-outbound-O]action source-nat 


[USG-nat-policy-interzone-trust-untrust-outbound-Oleasy-ip GigabitEthernet 0/0/4 
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静态 路 由 配置 命令 参考 : 
[USG] ip route-static 0.0.0.0 0.0.0.0 1.1.1.2 
[USG] ip route-static 0.0.0.0 0.0.0.0 22.2.2 
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NAT Server 双 出 口 配 置 1 (命令 行 ) 


。 配置 域 间 安全 转发 策略 。 开 启 内 网 到 ISP1 和 ISP2 区 域 的 inbound 方 向 策略 
。 (ISP2 的 配置 与 SP1 相 似 ， 具 体 配置 省 上 略 ) 
[USG] policy interzone trust isp1 inbound 
[USG-policy-interzone-trust-isp1-inbound] policy 0 x 
[USG-policy-interzone-trust-isp1-inbound-0] policy destination 10.1.1.3 0 
[USG-policy-interzone-trust-isp 1-inbound-0] policy service service-set ftp 


[USG-policy-interzone-trust-isp 1-inbound-0] action permit 
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配置 接口 IP 地 址 、 接 口 加 域 配置 命令 参考 : 
<USG> system-view 
[USG] interface GigabitEthernet 0/0/3 
[USG-GigabitEthernet0/0/3] ip address 10.1.1.1 24 
[USG-GigabitEthernet0/0/3] quit 
[USG] interface GigabitEthernet 0/0/4 
[USG-GigabitEthernet0/0/4] ip address 1.1.1.1 24 
[USG-GigabitEthernet0/0/4] quit 
[USG] interface GigabitEthernet 0/0/5 
[USG-GigabitEthernet0/0/5] ip address 2.2.2.1 24 
[USG-GigabitEthernet0/0/5] quit 


SN 


[USG] firewalkzone dmz 

[USG-zone-dmz] add interface GigabitEthernet 0/0/3 
[USG-zone-dmz] quit 

[USGMirewall zone untrust 

[USG-zone-untrust] add interface GigabitEthernet 0/0/4 
[USG-zone-untrust] add interface GigabitEthernet 0/0/5 
[USG-zone-untrust] quit 
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NAT Server 双 出 口 配 置 2 (命令 行 ) 


。 创建 内 网 服务 器 的 公 网 IP 与 私 网 IP 的 映射 关系 。 
[USG] nat server zone isp1 protocol tcp global 1.1.1.1 ftp inside 10.1.1.2 ftp 


[USG] nat server zone isp2 protocol tcp global 2.2.2.1 ftp inside 10.1.1.2 ftp 


e 在 SP1、lSP2 与 DMZ 的 域 间 配 置 NAT ALG, em See LERNER 
服务 。 

USG] firewall interzone dmz isp1 

USG-interzone-dmz-isp1] detect ftp 

USG-interzone-dmz-isp1] quit 

USG] firewall interzone dmz isp2 


USG-interzone-dmz-isp2] detect ftp 





USG-interzone-dmz-isp2] quit 
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在 本 例 中 ，ISP1 和 ISP2 可 以 划 为 同一 安全 区 域 也 可 以 设置 为 不 同 的 安全 区 域 。 在 这 种 
时 候 ， 需 要 采用 nat server zone 方式 可 以 使 防火 墙 识别 报 文 “ 来 自 ” 或 者 “去 往 ” 的 域 ， 
对 报 文 的 目的 地 址 和 源 地 址 通过 nat server 所 创建 的 地 址 映射 关系 进行 转换 。 
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NAT 双 出 口 配 置 1 (Web) 


e。 创建 安全 区 域 新 建安 全 区 域 


安全 区 域名 称 ISP1 











trg 10 *<1-100> 
描述 
4 
应 用 zaa 
Ss 
° 配置 域 间 策略 e BS 、 安全 策略 PENG 
m me 
mavan AJ 
exec [rust ~ vE 
目的 安全 区 域 > vl 
mtt v | sit 
目的 地 址 x| | sit 
用 户 ~ sie 
服务 ~| | st 
mag x 
动作 jp > X) 
at à < 
i 
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在 Web 配 置 界面 中 ， 创 建安 全 区 域 的 操作 步骤 为 : 
1. 选择“ 网络 > 安全 区 域 > 安全 区 域 ”” 

2， 单 击 “ 安 全 区 域 列 表 ” 中 的 “新 建 * 。 

3， 依 次 输入 各 项 参数 。 


LEKRE RERE E 便 不 允许 更 改 ， 同 时 不 能 与 系统 已 存在 的 安全 区 域 
名 称 和 优先 级 相同 。 
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NAT 双 出 口 配 置 2 (Web) 


。 配置 静态 路 由 


e 路 由 > BS > 静态 路 由 















PRPS h 


目的 地 址 0 0 0 0 | 
掩 码 0 0 0 0 
下 一 跳 1 1 1 2 下 一 秽 和 接口 不 能 同时 为 全 


接口 AH 一 NONE -一 {v 
IP Link 号 


60 <1-258» 





应 用 


此 处 到 ISP1 的 静态 路 由 
下 一 跳 假设 为 1.1.1.2。 





Copyright © 2013 Huawei Technologies Co., Ltd. All rights reserved. Page 46 Ws HUAWEI 


在 Web 配 置 界面 中 ， 配 置 静态 路 由 的 步骤 为 : 
1. 选择“ 路 由 > 静态 > 静态 路 由 ”N。 

2， 在 “静态 路 由 列表 ”中 ， 单 击 必 新 建 ”。 
3， 依 次 输入 或 选择 各 项 参数 。 
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NAT 双 出 口 配 置 3 (Web) 


e。 配 置 Outbound 策 略 


e ”防火墙 NAT > 源 NAT 





wnat NAT 地 址 池 


新 建 源 NAT 


源 安 全 区 域 
目的 安全 区 域 
源 地 址 

目的 地 址 
动作 


HARRAN 
接口 


NATRI 





应 用 


地 址 池 中 的 地 址 


返回 


© gnai 
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作为 NAT 
Outbound fix, 
此 处 的 源 地址 

内 网 用 户主 机 的 
IP 地 址 。 


直接 引用 接口 IP 
地 址 为 转换 后 的 
IP 地 址 。 
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UU Rae, IBS MAMA 1007.1.33)1SP1 QQ EZAINAT outbound 策 略 ， 
内 网 用 户 转换 后 的 IP 地 址 为 到 ISP1 的 接 马 G070/4 的 IP 地 址 ， 此 种 转换 方式 相当 于 命令 行 中 
easy IP 的 方式 。 
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NAT 双 出 口 配 置 4 (Web) 


© 创建 两 全 内 网 服务 器 的 公 网 IP 与 私 网 IP 的 映射 关系 。 


e 防火墙 ” NAT > 庶 拟 服务 器 
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总 结 


。 NAT 的 技术 原理 
。 NAT 几 种 应 用 方式 
。 防火 墙 NAT 典 型 场景 配置 
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思考 题 


e NAT Inbound 与 NAT Outbound 有 何 区 别 ? 

。 No-pat 有 哪些 局 限 性 ? 

。 Easy-ip 的 应 用 场景 是 什么 ? X 
。 基于 目的 IP 地 址 NAT 中 no-reverse 参 数 的 意义 是 什么 ? 

。 域 间 双向 NAT 与 域内 双向 NAT 应 用 场景 有 何不 同 ? 

。 NAT Server 双 出 口 

。 在 不 同类 型 NAT 应 用 场 场景 中 ， 域 间 包 过 滤 规 则 配置 应 注意 哪些 方面 ? 
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第 五 章 
防火 墙 双 机 热 备 技术 








@ 目标 


。 学 完 本 课程 后 ， 您 将 能 够 : 
掌握 双 机 热 备 技术 原理 ¢ 
o 掌握 双 机 热 备 基础 配置 


口 
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© 目录 


1. 双 机 热 备 技术 原理 








2， 双 机 热 备 基 本 组 网 与 配置 Q 
Copyright © 2013 Huawei Technologies Co., Ltd. All rights reserved, Page 2 w HUAWEI 





0 240 





双 机 热 备 份 技术 产生 的 原 





。 传统 的 组 网 方式 如 图 所 示 ， 内 部 用 户 和 外 部 用 户 的 交互 报 文 全 部 通 
过 Firewall A。 如 果 Firewall A 出 现 故 障 ， 内 部 网 络 中 所 有 以 
Firewall A 作为 默认 网 关 的 主机 与 外 部 网 络 之 间 的 通讯 将 中 断 ， 通 
讯 可 靠 性 无 法 保证 。 
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HLA DIR ARAS EMKE T EEAS, EEN AEA 
两 台 或 多 全 网 关 设 备 ， 保 证 了 内 部 网 络 于 外 部 网 络 之 间 的 通讯 畅通 。 


USG 防 火 墙 作 为 安全 设备 ， 一 般 会 部 署 在 需要 保护 的 网 络 和 不 受 保护 的 网 络 之 间 ， 即 
位 于 业务 接口 点 上 。 在 这 种 业务 点 上 ， 如 果 仅 仅 使 用 一 全 USG 防 火 墙 设备 ， 无 论 其 可 靠 性 
多 高 ， 系 统 都 可 能 会 承受 因为 单 点 故障 而 导致 网 络 中 断 的 风险 。 为 了 防止 一 台 设 备 出 现 意 
外 故障 而 导致 网 络 业务 中 断 ，. 可 以 采用 两 台 防 火 墙 形成 双 机 备份 。 











0 242 0 





双 机 热 备 在 路 由 器 上 部 署 


10.100.10.2 Master 
5: 
















内 部 网 络 


: + 40.100.10.3 
É El Backup 
.100.10.0/24 A 


分 组 


Virtual IP Address 
10.100.10.1 10.100.10.4 


RouterC 


。 路 由 器 组 网 中 通过 VRRP 协 议 实现 双 机 热 备份 
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为 了 避免 路 由 器 传统 组 网 所 引起 的 单 点 故障 的 发 生 ， 通 常情 况 可 以 采用 多 条 链 路 的 保 
护 机 制 ， 依 靠 动态 路 由 协议 进行 链 路 切换 。 但 这 种 路 由 协议 来 进行 切换 保护 的 方式 存在 一 
定 的 局 限 性 ， 当 不 能 使 用 动态 路 由 协议 时 从 仍然 会 导致 链 路 中 断 的 问题 ， 因 此 推出 了 另 一 
种 保护 机 制 YRRP 〈 虚 拟 路 由 元 余 协议 ) 汝 进行 。 采 用 VRRP 的 链 路 保护 机 制 比 依赖 动态 路 
由 协议 的 广播 报 文 来 进行 链 路 切换 的 时 间 更 短 ， 同 时 弥补 了 不 能 使 用 动态 路 由 情况 下 的 链 
路 保护 。 


VRRP (Virtual Router Redundancy Protocol) 是 一 种 基本 的 容错 协议 。 


。 备份 组 : 同一 个 广播 域 的 二 组 路 由 器 组 织 成 一 个 虚拟 路 由 器 ， 备 份 组 中 的 所 有 路 由 器 一 
起 ， 共 同 提供 一 个 虚拟 iP 地 址 ， 作 为 内 部 网 络 的 网 关 地 址 。 


e = (Master) 路 由 器 六 在 同一 个 备份 组 中 的 多 个 路 由 器 中 ， 只 有 一 全 处 于 活动 状态 ， 
只 有 主 路 由 器 能 转发 以 虚拟 IP 地 址 作为 下 一 跳 的 报 文 。 


。 f (Backup) 路 由 器 : 在 同一 个 备份 组 中 的 多 个 路 由 器 中 ， 除 主 路 由 器 外 ， 其 他 路 
由 器 均 为 备份 路 由 器 ， 处 于 备份 状态 。 


主 路 由 器 通过 组 播 方式 定期 向 备份 路 由 器 发 送 通告 报 文 (HELLO) ， 备 份 路 由 器 则 负 
责 监 听 通 告 报 文 ， 以 此 来 确定 其 状态 。 由 于 VRRP HELLO 报 文 为 组 播报 文 ， 所 以 要 求 备份 
组 中 的 各 路 由 器 通过 二 层 设 备 相 连 ， 即 启用 VRRP 时 上 下 行 设备 必须 具有 二 层 交 换 功 能 ， 
否则 备份 路 由 器 无 法 收 到 主 路 由 器 发 送 的 HELLO 报 文 。 如 果 组 网 条 件 不 满足 ， 则 不 能 使 用 
VRRP» 
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VRRP 在 多 区 域 防火 墙 组 网 中 的 应 用 


备份 组 1 
Virtual IP Address 
` 100.10.1 






Master 










备份 组 3 
Virtual IP Address 
202.38.10.1 





备份 组 2 Backup 
10.100.20.0/24 Virtual IP Address 
10.100.20.1 


。 为 防火 墙 上 多 个 区 域 提 供 双 机 备份 功能 时 ,需要 在 每 一 人 台 防 火 墙 上 
配置 多 个 VRRP 备 份 组 。 
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当 防 火 墙 上 多 个 区 域 需要 提供 双 机 备份 功能 时 ”需要 在 一 台 防 火 墙 上 配置 多 个 VRRP 备 
份 组 。 


由 于 USG 防 火 墙 是 状态 防火 墙 ， 它 要 求 报 文 的 来 回路 径 通 过 同一 台 防 火 墙 。 为 了 满足 
这 个 限制 条 件 ， 就 要 求 在 同一 台 防 火 墙 上 的 所 有 VRRP 备 份 组 状态 保持 一 致 ， 即 需要 保证 
在 主 防火 墙 上 所 有 VRRP 备 份 组 都 是 主 状 态 ， 这 样 所 有 报 文 都 将 从 此 防火 墙 上 通过 ， 而 另 
外 一 台 防 火 墙 则 充当 备份 设备 。 
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VRRP 在 防火 墙 应 用 中 存在 的 缺陷 






ae Untrust 


实际 连 线 
me a, > ERE 
© 传统 VRRP 方 式 无 法 实现 主 、 备 用 防火 墙 状态 的 一 致 性 。 
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如 图 所 示 ， 假 设 USG A 和 USG B 的 VRRP 状 态 王 致 ， 即 USG A 的 所 有 接口 均 为 主 用 状态 
，USG B 的 所 有 接口 均 为 备用 状态 。 


此 时 ，Trust 区 域 的 PC1 访 问 Untrust 区 域 的 PC2， 报 文 的 转发 路 线 为 (1)-(2)-(3)-(4)。 
USG A 转发 访问 报 文 时 ， 动 态 生 成 会 话 表 项 。 当 PC2 的 返回 报 文 经 过 (4)-(3) 到 达 USG A 时 
， 由 于 能 够 命中 会 话 表 项 ， 才 能 再 经 过 (2)-(1) 到 达 PC1 ， 顺 利 返回 。 同 理 ， 当 PC2 和 DMZ 
区 域 的 Server 也 能 互 访 。 


假设 USG A 和 USG B 的 YRRP 状 态 不 一 致 ， 例 如 ， 当 USG B 与 Trust 区 域 相连 的 接口 为 备 
用 状态 ,但 与 Untrust 区 域 的 接口 为 主 用 状态 ， 则 PC1 的 报 文通 过 USG A 设备 到 达 PC2 后 ， 
在 USG A 上 动态 生成 会 话 表 项 。PC2 的 返回 报 文通 过 路 线 ( 儿 -(?) 返 回 。 此 时 由 于 USG BE 
没有 相应 数据 流 的 会 话 表 项 ， 在 没有 其 他 报 文 过 滤 规 则 允许 通过 的 情况 下 ，USG B 将 丢弃 
该 报 文 ， 导 臻 会话 中 断 。 


问题 产生 的 原因 *、 报 文 的 转发 机 制 不 同 。 


。 路 由 器 从 每 个 报 文 都 会 查 路 由 表 当 匹配 上 后 才 进 行 转发 ， 当 链 路 切换 后 ， 后 续 报 文 不 会 
受到 影响 ， 继 续 进行 转发 。 

。 状态 检测 防火 墙 : 如 果 首 包 人 允许 通过 会 建立 一 条 五 元 组 的 会 话 连接 ， 只 有 命中 该 会 话 表 
项 的 后 续 报 文 (包括 返回 报 文 ) 才能 够 通过 防火 墙 ， 如 果 链 路 切换 后 ， 后 续 报 文 找 不 到 
正确 的 表 项 ， 会 导致 业务 中 断 。 

注意 : 当 路 由 器 配置 NAT 后 也 会 存在 同样 的 问题 ， 因 为 在 进行 NAT 后 会 形成 一 个 NAT 
转换 后 的 表 项 。 
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VRRP 用 于 防火 墙 多 区 域 备份 


。 为 了 保证 所 有 VRRP 备 份 组 切换 的 一 致 性 ， 在 VRRP 的 基础 上 进行 了 扩展 ， 推 出 了 
VGMP (VRRP Group ManagementProtocol) 来 弥补 此 局 限 。 








T 备份 组 





VÉMPE A 
备份 组 2 er 
10.100.20.0/24 
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VRRP 在 防火 墙 中 应 用 的 要 求 : 
DVRRP 状 态 的 一 致 性 


o 会 话 表 状态 备份 

VGMP 提 出 VRRP 管 理 组 的 概念 入 将 同一 台 防 火 墙 上 的 多 个 VRRP 备 份 组 都 加 入 到 一 个 

VRRP 管 理 组 ， 由 管理 组 统一 管理 所 有 VRRP 备 份 组 。 通 过 统一 控制 各 VRRP 备 份 组 状态 的 
切换 ， 来 保证 管理 组 内 的 所 有 VRRP 备份 组 状态 都 是 一 致 的 。 
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VGMP 基 本 原理 


e VYGMP 状 态 (IMasfer/Slave) 
e VGMP HELLO 


xX 





USG A VGMP Master 
o> a, VGMP priority 105 





”备份 组 (6 
VGMPSIaver 
VGMP priority 100 









备份 组 2 USG B 
10.100.20.0/24 
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当 防 火 墙 上 的 VGMP 为 Master 状 态 时 ,组 内 所 有 VRRP 备 份 组 的 状态 统一 为 Master 状 
态 ， 所 有 报 文 都 将 从 该 防火 墙 上 通过 ， 该 防火 墙 成 为 主 用 防火 墙 。 此 时 另外 一 台 防 火 墙 上 
对 应 的 VGMP 为 备 状态 ， 该 防火 墙 成 为 备用 防火 墙 。 

通过 指定 VGMP 组 的 优先 级 来 决定 谁 将 成 为 主 防火 墙 或 备用 防火 墙 。 

VGMP 的 优先 级 会 根据 组 内 的 MRRP 备 份 组 成 员 的 状态 动态 调整 ， 以 此 完成 两 台 防 火 墙 
的 主 备 倒 换 。 

与 YRRP 类 似 ， 状 态 为 Master 的 VCGMP 也 会 定期 向 对 端 发 送 HELLO 报 文 ， 通 知 3lave 端 
本 身 的 运行 状态 (包括 优先 级 、VRRP 成 员 状 态 等 ) 。 与 VRRP 不 同 的 是 ，slavye 端 收 到 
HELLO 报 文 后 ， 会 回应 一 个 人 CK 消息 ， 该 消息 中 也 会 携带 本 身 的 优先 级 、VRRP 成 员 状 态 
等 。 

VGMP HELLO 报 文 发 送 周 期 缺 省 为 1 秒 。 当 Slaqve 端 三 个 HELLO 报 文 周期 没有 收 到 对 端 
发 送 的 HELLO 报 文 时 》 会 认为 对 端 出 现 故 障 ， 从 而 将 自己 切换 到 Master 状 态 
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VGMP 组 管理 


。 状态 一 致 性 管理 
o VGMP 管 理 组 控制 所 有 的 VRRP 备 份 组 统一 切换 。 


。 抢占 管理 xX 
o 当 原 来 出 现 故 障 的 主 设备 故障 恢复 时 ， 其 优先 级 也 会 恢复 ， 此 时 厂 以 重 
新 将 自己 的 状态 抢占 为 主 。 
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。 状态 一 致 性 管理 


各 备份 组 的 主 / 备 状态 变化 都 需要 通知 其 所 属 的 VCMP 管 理 组 ， 由 VCMP 管 理 组 决定 
是 否 允 许 VRRP 备 份 组 进行 主 / 备 状态 切换 oN 如 果 需 要 切换 ， 则 VGMP 管 理 组 控制 所 有 的 
VRRP 备 份 组 统一 切换 。VRRP 备 份 组 加 入 到 管理 组 后 ， 状 态 不 能 自行 单独 切换 。 


。 抢占 管理 


VRRP 备 份 组 本 身 具有 抢占 功能 。 即 当 原 来 出 现 故 障 的 主 设备 故障 恢复 时 ， 其 优先 级 也 
会 恢复 ， 此 时 可 以 重新 将 自己 的 状态 抢占 为 主 。 


VGMP 管 理 组 的 抢占 功能 和 VRRP 备 份 组 类 似 ， 当 管理 组 中 出 现 故 障 的 备份 组 故障 恢 
复 时 ， 管 理 组 的 优先 级 也 将 恢复 。 此 时 YGMP 可 以 决定 是 否 需要 重新 抢占 称 为 主 设备 。 


当 VRRP 备 份 组 加 入 到 VGMP 管 理 组 后 ， 备 份 组 上 原来 的 抢占 功能 将 失效 ， 抢 占 行为 
发 生 与 否 必须 由 VGMP 管 理 组 统一 决定 。 


O 248 0 


USG 防 火 墙 是 状态 防火 墙 ， 如 果 备 防火 墙 上 没有 原来 主 防火 墙 上 的 会 话 表 等 连接 状态 数据 





HRP 基 本 概念 


e HRP (Huawei Redundancy Protocol) 协议 ， 用 来 将 主 防火 墙 
关键 配置 和 连接 状态 等 数据 向 备 防 火 墙 上 同步 。 
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在 双 机 热 备 组 网 中 ， 当 主 防火 墙 出 现 故 障 时 所 有 流量 都 将 切换 到 备 防 火 墙 。 因 为 























， 则 切换 到 备 防火 墙 的 流量 将 无 法 通过 防火 墙 ， 造 成 现 有 的 连接 中 断 ， 此 时 用 户 必 须 重新 
发 起 连接 。 





HRP 模 块 提供 了 基础 的 数据 备份 机 制 和 传输 功能 。 各 个 应 用 模块 收集 本 模块 需要 备份 


的 数据 ， 提 交 给 HRP 模 块 ，HRP 模 块 负责 将 数据 发 送 到 对 端 防火 墙 的 对 应 模块 ， 应 用 模块 
需要 再 将 HRP 模 块 提 交 上 来 的 数据 进行 解析 ， 并 加 入 到 防火 墙 的 动态 运行 数据 池 中 。 











BOAR: 要 备份 的 连接 状态 数据 包括 TCP/UDP 的 会 话 表 、ServerMap 表 项 、 动 态 黑 
名 单 、NO-PAT 表 项 、ARP 表 项 等 。 


备份 方向 :防火 墙 上 有 状态 为 主 的 VGMP 管 理 组 ， 向 对 端 备 份 。 
备份 方式 : 分 为 三 种 
o 批量 备份 ` 在 两 台 设 备 第 一 次 协商 完成 后 ， 批 量 备份 所 有 信息 
0 QHRH: 在 设备 运行 过 程 中 ， 新 建 或 者 刷新 的 数据 实时 备份 
bs 配置 批量 备份 需要 消耗 较 多 的 资源 ， 缺 省 情况 下 是 关闭 的 。 


备份 通道 : 一 般 情况 下 ， 在 两 台 设 备 上 直 连 的 端口 作为 备份 通道 ， 有 时 也 称 为 “心跳 线 
* (VGMP 也 通过 该 通道 进行 通信 ) 。 
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HRP 会 话 快速 备份 


。 首 包 会 话 快速 备份 
。 更 新 报 文 会 话 快速 备份 











。 会话 快 速 备份 =, 
ca tl fl 
= 7 
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在 来 回路 径 不 一 致 的 组 网 中 ， 业 务 流 的 来 回报 文 有 可 能 不 会 从 同一 个 防火 墙 上 经 
为 了 支持 来 回路 径 不 一 致 的 组 网 ， 防 火 墙 增加 洒 会 话 快 速 备份 功 能 。 即 在 首 包 创建 会 
， 立 即将 会 话 数 据 打 包 备 份 到 对 端 ， 然 后 再 将 报 文 转发 出 去 ， 保 证 了 当 回 应 的 报 文 到 达 对 
端 防火 墙 时 ， 对 端 防火 墙 上 已 经 接收 到 备份 过 来 的 会 话 数据 并 加 入 到 会 话 表 中 。 比 如 对 于 
TCP ee, SYN+ACK 报 文 从 另 一 台 设 备 回 来 时 ， 由 于 查 不 到 会 话 ， 报 文 会 被 丢 
弃 ， 导 致 连接 建立 失败 。 对 于 UDP 会 话 ， 第 一 个 反 向 报 文 过 来 时 ， 在 另 一 台 上 也 会 因为 查 
不 到 会 话 ， 需 要 走 包 过 滤 流 程 六 有 可 能 会 被 丢弃 。 

















通常 情况 下 ， CC 会 话 之 后 立即 备份 到 对 端 ， 包 括 三 
次 握手 报 文 和 fin、rst 报 文 ;对 于 UDP 会 话 ， 快 速 备份 是 创建 会 话 之 后 立即 备份 到 对 端 ， 后 
a oy rae ear 


Q 2500 
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双 机 热 备 基本 组 网 


。 上 下 行业 务 接口 工作 在 三 层 模式 ， 连 接 二 层 设备 时 ， 需 要 在 上 下 行 的 业务 接口 上 配 
置 VRRP 备 份 组 ,使 VYGMP 管 理 组 能 够 通过 VRRP 备 份 组 监测 三 层 业务 接口 。 








E2/0/0 
10.0.0.1/24 


Master 
备份 组 1 USG A I4 
Virtual IP Address G0/0/0 = GO/0/1 
10.100.10.1/24 — 10.100.10.2/24 SS 202.38.10.2/24 
本 PC2:202.38.10.100/24 















E2/0/0 


PC1:10.100.10.100/24 10.0.0.225 


G0/0/0 备份 组 2 
10.100.10.3/24 G0/0/1 Virtual IP Address 
202.38,10.3/24 202.38.10.1/24 
Backup 
USG_B 
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双 机 热 备 组 网 最 常见 的 是 防火 墙 采用 路 由 模式 ， 下 行 交换 机 双 线 上 联 到 防火 墙 ， 正 常 
情况 下 防火 墙 A 作 为 主 ， 当 防火 墙 A 上 行 或 下 生 链 路 down 掉 后 ， 防 火 墙 B 自 动 切换 为 主 设 
备 ， 交 换 机 流量 走向 防火 墙 B。 
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配置 VRRP 备 份 组 


。 接口 视图 下 配置 VRRP: 
vrrp vrid virtual-router-ID virtual-ip virtual-address [ ip-mask | ip-mask- 
length ] { master | slave } xX 


o 执行 此 命令 时 ， 指 定 master 或 slave 参 数 后 ， 即 将 该 VRRP 组 加 
入 了 VGMP 管 理 组 的 Master 或 Slave 管 理 组 。 


o 每 个 普通 物理 接口 (GigabitEthernet 接 口 ) 下 最 多 配置 255 个 
VRRP 组 。 
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Moaqster 管 理 组 默认 情况 下 会 每 隔 1 秒 发 送 一 次 Vrrp 报 文 ， 可 以 在 接口 视图 下 调整 vrrp 报 
文 发 送 间 隔 。 接 口 视图 下 修改 vrrp 报 文 发 送 时 间 : 

virp vrid virtual-router-ID timer advertise adver-interval 

VIrPp 也 可 以 与 ip-link 进 行 配合 ， 当 上 行 链 路 断 掉 后 使 Vrrp 能 够 进行 主 备 切 换 。 在 接口 视 
图 下 配置 ip-link: 

vrro vrid virtual-router-id ip-link link-id 

缺 省 情况 下 ，VGCMP 管 理 组 的 抢占 功能 为 启用 状态 ， 抢 占 延 迟 时 间 为 30s 。 配 置 
VGMP 管 理 组 的 抢占 延迟 时 间 命 令 如 下 : 


hrp preempt /delay interval ] 
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HRP 配 置 命令 


。 指定 心跳 口 
hrp interface interface-type interface-number [remote { ijp-adaress | ijpvé-adaress } ] 
。 启用 HRP 备 份 功能 X 
hrp enable 
。 启用 人 允许 配置 备用 设备 的 功能 
hrp slave config enable 
。 启用 命令 与 状态 信息 的 自动 备份 
hrp auto-sync / config | connection-status] 
。 启用 会 话 快速 备份 


hrp mirror session enable 
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HRP 两 全 USG 心 跳 口 的 接口 类 型 和 编号 必须 相同 ， 且 心跳 口 不 能 为 二 层 以 太 网 接口 。 
USG 支 持 使 用 Eth-Trunk 接 口 做 为 心跳 口 各 既 提高 了 可 靠 性 ， 又 增加 了 备份 通道 的 带宽 。 主 
备 USG 的 心跳 口 可 以 直接 相连 ， 也 可 以 通过 中 间 设 备 ， 如 交换 机 或 路 由 器 连接 。 当 心跳 口 
通过 中 间 设 备 相连 时 ， 需 要 配置 [emote 参 数 来 指定 对 端 P 地 址 。 

当 两 合 设 启用 备 HRP 备 份 功 能 之 后 $ 会 进行 主 备 状态 的 协商 ， 最 后 得 到 一 个 主 用 设备 
(显示 时 以 HRP_M 表 示 ) ， 一 个 备用 设备 (显示 时 以 HRP_S 表 示 ) 。 两 端 首次 协商 出 主 备 
后 ， 主 用 设备 将 向 备用 设备 备份 配置 和 连接 状态 等 信息 。 

启用 允许 配置 备用 设备 的 功能 后 ， 所 有 可 以 备份 的 信息 都 可 以 直接 在 备用 设备 上 进行 
配置 ， 且 备用 设备 上 的 配置 可 以 同步 到 主 用 设备 。 如 果 主 备 设备 上 都 进行 了 某 项 配置 ， 则 
从 时 间 上 来 说 ， 后 配置 的 信息 会 覆盖 先 配 置 的 信息 。 

USG 工 作 于 负载 分 担 组 网 时 ， 报 文 的 来 回路 径 可 能 会 不 一 致 ， 务 必 启 用 会 话 快速 备份 
功能 ， 使 一 台 W @ 的 会 话 信息 立即 同步 至 另 一 台 USC， 保 证 内 外 部 用 户 的 业务 不 中 断 。 
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VRRP 配 置 举 例 


。 USG_A 关 于 VRRP 组 1 配置 : 
[USG_Alinterface GigabitEthernet 0/0/0 
[USG_A-GigabitEthernet 0/0/0 Jip address 10.100.10.2 24 X 
[USG_A-GigabitEthernet 0/0/0 ]vrrp vrid 1 10.100.10.1 master 

。 USG_B 关 于 VRRP 组 1 的 配置 : 
[USG _Blinterface GigabitEthernet 0/0/0 
[USG_B-GigabitEthernet0/0/0 Jip address 10.100.10.3 24 
[USG_B-GigabitEthernet 0/0/0 Jvrrp vrid 1 virtual-ip 10.100:10. 1.slave 
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HRP 配 置 举例 


e USG_A 关 于 HRP 配 置 : 
[USG_Alhrp enable 
[USG_Alhrp mirror session enable X 
[USG_A]hrp interface Ethernet 2/0/0 
[USG_Alhrp interface GigabitEthernet 0/0/0 
[USG_A]hrp interface GigabitEthernet0/0/1 
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USG_B 关 于 HRP 的 配置 : 
[USG_B]hrp enable 
[USG_B]hrp mirror session enable 
[USG_B]hrp interface Ethernet2/0/0 
[USG_B]hrp interface GigabitEthernet 0/0/0 
[USG_B]hrp interface GigabitEthernet 0/0/1 
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配置 VRRP 备 份 组 一 一 WEB 方 式 


。 新 建 VRID 组 


© 系统 》 高 可 靠 性 > 汉 机 热 备 


新 建 VRID 


VRRP VRID 1 |*<1-255> 


接口 名 称 GE0/0/0 [x] 
OPES s 


BIPRARS 10 100.10 .1 |* |255 255 255. 


管理 组 
高 级 一 
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HRP 配 置 一 一 WEB 方 式 


。 配置 双 机 热 备 
o 启动 HRP 
o 选择 HRP 备 份 通道 


t 


AR > 高 可 靠 性 > 双 机 热 备 
配置 双 机 热 备 
V| HRP 启动 
HRP 备 份 通道 
- 高 级 


HRP 状 态 : Active 
FE2/0/0 














HRP 配 置 一 一 WEB 方 式 


。 双 机 热 备 高 级 配置 选项 





B 高 级 
启动 会 话 快速 备份 
自动 备份 连接 状态 
手动 备份 连接 状态 
手动 备份 配置 





检查 HRP 配 置 一 致 性 





检查 ACL 配 置 一 到 性 





配置 HRP 状 态 监 控 组 





抢占 模式 
抢占 于 时 
Hello 报 文 周 其 


设置 OSPF Cost 值 


备注 :OSPF(Open Shortest Path First) 是 IETF 组 织 开发 的 一 个 
的 内 部 阿 关 协议 ， 是 一 种 用 于 自治 系统 AS (Autonomgus Sy: 
动态 路 由 协议 * 
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查看 VRRP 状 态 


HRP_M<USG_A>display vrrp int g0/0/1 


16:13:46 2013/06/08 
GigabitEthernet0/0/1 | Virtual Router 2 
VRRP Group : Master x 
state : Master 
Virtual IP : 202.38.10.1 
Virtual MAC : 0000-5e00-0102 
Primary IP : 202.38.10.2 
PriorityRun : 120 
PriorityConfig : 100 
MasterPriority : 120 
Preempt : YES Delay Time :0 
Advertisement Timer : 1 
Auth Type : NONE 
Check TTL : YES 
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查看 HRP 状 态 


。 查看 处 于 Master 状 态 防 火 墙 的 状态 信息 如 下 : 
HRP_M<USG_A>dis hrp state 
16:15:31 2013/06/08 X 
The firewall's config state is: MASTER 


Current state of virtual routers configured as master: 
GigabitEthernet0/0/1 vrid 2: master 
GigabitEthernet0/0/0 vrid 1: master 
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查看 处 于 Slave 状 态 防 火 墙 的 状态 信息 如 下 : 
HRP_S[USG_B] display hrp state 





16:40:13 2010/11/29 

The firewall's config states; SLAVE 

Current state of virtualrouters configured as slave: 
GigabitEthernet0/0/0 vrid 1:slave 
GigabitEthernet0/0/1 vrid 2:slave 
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总 结 


© 双 机 热 备 技术 原理 


。 双 机 热 备 基本 组 网 及 配置 A4 
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@ 习题 


。 判断 题 
1，HRP 技 术 可 以 实现 备 防火 墙 不 需要 配置 任何 信息 ， we 
主 防火 墙 通过 HRP 同 步 至 备 防火 墙 ， 且 重启 后 配置 信息 不 丢失 。 


。 单 选 题 
1. 在 防火 墙 做 双 机 热 备 组 网 时 ， 为 实现 备份 组 整体 状态 切换 ,需要 使 用 
以 下 哪个 协议 技术 ? 
A.VGMP B. VRRP C. HRP D. OSPF 
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习题 与 答案 : 


1、HRP 技 术 可 以 实现 备 防 火 墙 不 需要 配置 任何 信息 ， 所 有 配置 信息 均 由 主 防火 墙 通过 

















HRP 同 步 至 备 防 火 墙 ， 且 重启 后 配置 信息 不 丢失 。 

答案 : 错误 

2、 在 防火 墙 做 双 机 热 备 组 网 时 ,为 实现 备份 组 整体 状态 切换 ， 需 要 使 用 以 下 哪个 协 
议 技术 ? 

A. VGMP B. VRRP. C. HRP D. OSPF 


BR: A 
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@ 目标 


。 学 完 本 课程 后 ， 您 将 
o 掌握 用 户 认证 技术 
o 掌握 AAA 认证 
o 掌握 用 户 认 证 管理 配置 





能 够 : 
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© 目录 


1. 用 户 认 证 和 AAA 技术 原理 
2. 用 户 认证 管理 及 应 用 
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用 户 认 证 的 背景 


内 部 泄密 ， 损 失 巨 大 


无 关 应 用 影响 网 络 带 宽 Web 威 胁 , 无 孔 不 入 





无 关 活动 影响 工作 效率 


EARS 


企业 互联 网 接 入 





Page 3 
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违法 行为 ， 影 响 组 织 利益 
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当前 网 络 环境 中 ， 网 络 安全 的 威胁 更 多 的 来 源 于 应 用 层 ， 这 也 使 得 企业 对 于 网 络 访问 
控制 提出 更 高 的 要 求 。 如 何 精确 的 识别 出 用 A 保证 用 户 的 合法 应 用 正常 进行 ， 阻 断 用 户 
有 安全 隐患 的 应 用 等 问题 ， 已 成 为 现 阶段 企业 对 网 络 安全 关注 的 焦点 。 但 IP 不 等 于 用 户 、 





端口 不 等 于 应 用 ， 传 统 防 火 墙 基于 IP/ 端 加 的 五 元 组 访问 控制 策略 已 不 能 
网 络 环 境 的 巨大 变化 。 
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效 的 应 对 现 阶段 





举例 : 


什么 是 AAA 


e Authentication 认 证 


e Authorization 授权 


e Accounting 计 费 


Authentication 
nti 


+ sence Se 


Bai MaE 





用 户 和 wm: TH 

Ear) [WERE HE] 
| 
7 为 下 面 用 户 保存 用 户 名 和 密码 GS) 


enzo 
| Bo teatemut MAA A 


(Ro ) | DA Rit ©) 帮助 00 








se* 


新 闻 网 页 Be we 音乐 Bh AS 地 图 


An Ze noz | 要 


Google 
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Authorization 


百度 一下 

















. 当 用 户 希 望 访问 Internet 访 问 资源 。 首 先 使 用 Authentication 认 证 技术 ， 用 户 输 


入 用 户 名 密码 。 


2. 当 通 过 认证 后 ， 通 过 Authorizatien 授权 ， 授 权 不 同 用 户 访问 的 资源 ， 可 以 访问 


百度 ， 或 者 Coogle。 


3. 在 客户 访问 期 间 ， 


phAccounting 计 费 ， 


记录 所 做 的 操作 和 时 长 。 
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Authentication 认 证 


What | know? 





























What | are? 


ns 自动 认证 
[GE | ae || xm | 
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。 认证 的 方式 包括 : 
o 我 知道 : 用 户 所 知道 的 信息 (如 密码 、 个 人 识别 号 (PIN) $) 
o 我 拥有 : 用 户 所 拥有 的 信息 (如 : 令 牌 卡 、 智 能 卡 或 银行 卡 ) 
o RRA: 用 户 所 具有 的 生物 特征 (如: 指纹 、 声 音 、 视 网 膜 、DNA) 


O 220 


Authorization 授权 
。 用 户 能 访问 的 资源 
。 用 户 能 使 用 的 命令 
用 户 业务 系统 
s31 
访客 一 一 一 一 
ne &S 公共 资源 


AL SB ”一 一 sq 








普通 业务 系统 
q et 
管理 者 OS 
敏感 业务 系统 
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授权 用 户 可 以 使 用 哪些 业务 ， 公 共 业 务 ， 还 是 敏感 业务 。 


授权 用 户 管理 设备 ， 可 以 使 用 那些 命令 。 如 ， 可 以 是 Display 命 令 ， 不 能 是 用 delete， 
copy 命 令 。 
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Accounting 计 费 


。 用 户 用 多 长 时 间 
。 用 户 花 了 多 少 钱 
。 用 户 做 了 哪些 操作 xX 
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计 费 主要 的 含义 有 三 个 : 
。 用 户 用 多 长 时 间 
。 用 户 花 了 多 少 钱 
。 用 户 做 了 哪些 操作 
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AAA 技术 










。 本 地 认证 在 认证 方 本 地 
存储 用 户 名 密 
但 
è- ey 
“say X 
User Gateway 





。 远 端 认证 





第 三 方 谈 证 服 
APK 
p 


o RADIUS 







a HWTACACS 


a LDAP A 
am 一 
g— se Ok 








y mana AQ“ 
User Gateway RADIUS/LDAP/AD 
authentication server 
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e 不 认证 : 


对 用 户 非常 信任 ， 不 对 其 进行 合法 检查 ， 一 般 情况 下 不 采用 这 种 方式 。 
。 本 地 认证 : 

将 用 户 信息 (包括 本 地 用 户 的 用 户 名 、 密 码 和 各 种 属性 ) 配置 在 网 络 接 入 服务 器 上 。 
本 地 认证 的 优点 是 速度 快 ， 可 以 为 运营 降低 成 本 ; 缺点 是 存储 信息 量 受 设备 硬件 条 件 限 制 
。 远 端 认 证 ; 

将 用 户 信 息 (包括 本 地 用 户 的 用 户 名 、 密 码 和 各 种 属性 ) 配置 在 认证 服务 器 上 。AAA 
支持 通过 RADIUS (Remote Authentication Dial In User Service) 协议 或 HWTACACS ( 
HuaWei Terminal Access.Controller Access Control System) 协议 进行 远 端 认 证 。 
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Radius 


。 Radius 服 务 器 通过 建立 一 个 唯一 的 用 户 数据 库 ， 存 储 用 户 名 、 密 码 来 对 用 
户 进行 验证 。 
管理 PC USG Radius Server 


一 1)U 
= ' eeina e (2) Request 
(3) Response 


i Code Identifier Length 














3 Authenticator 








6 Attribute | | 
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AAA 可 以 用 多 种 协议 来 实现 ， 最 常用 的 是 RADIUS 协议 。RADIUS 广 泛 应 用 于 网 络 接 入 服 
务 器 NAS (Network Access Server) 系统 。NAS 负 责 把 用 户 的 认证 和 计 费 信息 传递 给 
RADIUS 服 务 器 。RADIUS 协 议 规定 了 NAS 与 RADIUS 服 务 器 之 间 如 何 传递 用 户 信 息 和 计 费 信 
息 以 及 认证 和 计 费 结果 ，RADIUS 服 务 器 负责 接收 用 户 的 连接 请 求 ， 完 成 认证 ， 并 把 结果 返 
回 给 NAS。 


RADIUS 使 用 UDP (User Datagram‘ Protocol) 作为 传输 协议 ， 具 有 良好 的 实时 性 ; 同时 
也 支持 重 传 机 制 和 备用 服务 器 机 制 从 而 具有 较 好 的 可 靠 性 。 


RADIUS 客 户 端 与 服务 器 间 的 消息 流程 如 下 : 
1. 用 户 登 录 USG 或 接 入 服务 器 等 网 络 设备 时 ， 会 将 用 户 名 和 密码 发 送 给 该 网 络 接 入 服 


务 器 ; 
2. 该 网 络 设备 中 的 RADIUS 客户 端 (网络 接 入 服务 器 ) 接收 用 户 名 和 密码 ， 并 向 RADIUS 
服务 器 发 送 认 证 请 求 ; 
3. RADIUS 服务 器 接收 到 合法 的 请 求 后 ， 完 成 认证 ， 并 把 所 需 的 用 户 授权 信息 返回 给 客 
户 端 ;、 对 于 非法 的 请 求 ，RADIUS 服 务 器 返回 认证 失败 的 信息 给 客户 端 。 
o ~、Code: 消息 类 型 ， 如 接 入 请 求 、 接 入 允许 等 。 
oNldentifier: 一 般 是 顺序 递增 的 数字 ， 请 求 报 文 和 响应 报 文中 该 字段 必须 匹配 。 
u Length: 所 有 域 的 总 长 度 。 
o Authenticator: 验证 字 ， 用 于 验证 RADIUS 的 合法 性 。 
Attribute: 消息 的 内 容 主 体 ， 主 要 是 用 户 相关 的 各 种 属性 。 


Radius 应 用 场景 














管理 PC USG Radius Server 

= (1) Username 
一 N (2) Request 
i! Password Sa 

ous 

(3) Response 
用 户 输入 用 户 名 /口令 > | Access-Request 
| < Access-Accept | 


Accounting-Request (start) 





Accounting-Responsé 









































< 
Pig ui 
| Accounting-Request (stop) 
| 2 Accounting-Response 
È 通知 访问 结束 
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e Radius 报 文 交互 流程 
o 用 户 输 入 用 户 名 密码 
o 认证 请 求 
o 认证 接受 
o 计 费 开始 请 求 
o 计 费 开始 请 求 响应 报 六 
o 用 户 访问 资源 
o 计 费 结束 请 求 报 文 
o 计 费 结束 请 求 响应 报 文 
o 访问 结束 
e Code: 包 类 型 。 包 类 型 占 1 个 字 节 ， 定 义 如 下 : 
o ”Access-Request 一 一 请 求 认 证 过 程 
o <《Access:Accept 一 一 认证 响应 过 程 
a Access-Reject 一 一 认证 拒绝 过 程 
o ”Accounting-Request 一 一 请 求 计 费 过 程 
a Accounting-Response 一 一 计 费 响应 过 程 


¢ 





4 Access-Challenge 一 一 访问 质询 
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LDAP 
。 LDAP 也 是 基于 C/S 架 构 的 ，LDAP 服 务 器 负责 对 来 自 应 用 服务 


器 的 请 求 进行 认证 ， 同 时 还 指定 用 户 登录 的 应 用 服务 器 所 侈 
许 访问 的 资源 范围 等 。 A 


2. 认证 请 求 






3. 认证 结果 






4. 接 入 


授权 资源 
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LDAP 也 是 基于 C/s 架 构 的 ，LDAP 服 务 器 负责 对 来 自 应 用 服务 器 的 请 求 进行 认证 ， 同 时 
还 指定 用 户 登 录 的 应 用 服务 器 所 人 允许 访问 的 资源 范围 等 。 
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HWTACACS 


HWTACACS 是 在 TACACS 基 础 上 进行 了 功能 增强 的 一 种 安全 协议 ， 主 要 用 于 
接 入 用 户 的 认证 、 授 权 和 计 费 。 


HWTACACS 协 议 与 RADIUS 协 议 的 比较 % 
PT Wa | RDU ~ 


使 用 TCP 协 议 ， 网 络 传输 | 使 用 UDP 协议 。 认 证 和 授权 端口 号 
aa 


是 1812 和 1813， #1645701646. 
除了 标准 的 HWTACACS 报 和 站 全 
只 是 对 认证 报 文中 的 密码 字段 进行 

文 头 ， 对 报 文 主体 全 部 |ie 








进行 加 密 
Arme 认证 与 授权 分 离 认证 与 授权 一 起 处 理 
适 于 进行 安全 控制 适 于 进行 计 费 
配置 命令 授权 oe 命令 进行 授 




















不 支持 对 配置 命令 进行 授权 
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HWTACACS 是 在 TACACS 基 础 上 进行 也 功能 增强 的 一 种 安全 协议 ， 主 要 用 于 接 入 用 户 
的 认证 、 授 权 和 计 费 。 
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用 户 认证 分 类 

。 AAA 技术 为 用 户 认 证 提供 手段 。 

。 用 户 认 证 分 类 有 : 
o 免 认 证 xX 
o 密码 认证 


o 单 点 登录 ( 仅 在 上 网 用 户 中 体现 ) 
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。 免 认 证 

a VIP 

o 临时 访客 
。 密码 认证 : 





o 对 于 普通 的 公司 员工 ， 矿 般 采 用 密码 认证 ， 认 证 形式 方便 快捷 。 支 持 设备 与 LDAP， 
Radius，AD 多 种 认证 。 


。 单 点 登录 ( 仅 在 上 网 用 户 申 体现 ) 
o 如 果 当 前 网 络 中 已 经 部 署 了 AD 服务 器 身份 认证 系统 ， 则 设备 可 以 通过 单 点 登录 功能 


， 使 得 设备 与 AD 服务 器 联动 ， 识 别 出 已 在 AD 服务 器 上 认证 通过 的 用 户 ， 从 而 避免 用 
户 上 网 时 再 次 要 求 输入 用 户 名 /密码 ， 设 备 对 用 户 的 认证 过 程 透明 。 
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用 户 管 理 的 背景 


AAA 认证 技术 





用 户 认证 一 一 一 用 户 管理 _ 


ae K 


talk” eca 
[Graif ES 








A > 
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Des 


用 户 管理 将 分 为 不 同 的 用 户 组 ， 通 过 对 用 户 jK 证 ， 将 用 户 打 上 标签 ， 并 且 为 用 户 组 赋 
予 不 同 的 权限 和 应 用 ， 从 而 实现 安全 的 目标 。 

举例 : 

将 公司 员工 (AF) 加 入 用 户 组 ， 然 后 针对 用 户 或 用 户 组 进行 网 络 行为 控制 和 审计 ， 
根据 用 户 或 用 户 组 进行 策略 的 可 视 化 制定 ， 提 高 策略 制定 的 易 用 性 ， 报 表 中 体现 用 户 信息 ， 
对 用 户 进行 上 网 行为 分 析 ， 以 达到 对 用 户 (而 非 单纯 的 IP 地 址 ) 行为 的 追踪 审计 ， 解 决 现 
网 应 用 中 同一 用 户 对 应 iP 经常 变化 带 来 的 应 用 行为 策略 控制 难题 。 
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AP BHR 


。 上 网 用 户 管理 Ô 
o “上 网 用 户 ” 指 通过 USG 设 备 访问 资源 的 用 户 ， 包 括 内 网 主动 发 起 上 网 
行为 的 对 象 ， 如 内 网 PC。 K 
。 接 入 用 户 管理 全 2 
o “ 接 入 用 户 ” 指 PPP 或 隧道 建立 过 程 中 使 用 的 用 户 。USG 对 这 些 用 户 提 
供 本 地 认证 、RADIUS 认 证 、HWTACACS 认 证 ， 可 验证 用 户 身 份 的 合法 
性 并 为 合法 用 户 进 行 授权 ， 防 止 非法 用 户 进行 访问 。 


。 管 理 员 用 户 。 总 


o “管理 员 用 户 ” 指 通过 Telnet、SSH、web、FTP 等 协议 或 通过 Console 接 
口 访问 设备 并 对 设备 进行 配置 或 操作 的 用 户 。 
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管理 员 用 户 : 管理 员 主 要 为 了 实现 对 设备 的 管理 、 配 置 和 维护 ， 登 录 方 式 可 以 分 为 : 
o Console 
o Web 
o Telnet 
a FTP 
a SSH 
接 入 用 户主 要 为 了 实现 访问 网 络 ， 
o ”802.1X 接 入 用 户 
o PPP 接 入 用 户 
o SSLERA FAR 
上 网 用 户 


o 主 网 用 户 是 网 络 访问 的 标识 主体 ， 是 设备 进行 网 络 权 限 管理 的 基本 单元 。 设 备 通 过 对 
访问 网 络 的 用 户 进行 身份 认证 ， 从 而 获取 用 户 身份 ， 并 针对 用 户 的 身份 进行 相应 的 策 
略 控 制 。 
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管理 员 登 录 方 式 























Console 管理 PC USG 
Console Interface = 
a RS-232 B a; Ethernet SE 
e Telnet com 1 : 
FTP Client FTP Server: 
Console FTP 
e SSH 管理 PC USG 管理 PC USG 
Cy Ethernet Cy Ethernet 
e FIP ay € | 
Telnet Server Web Client Web Server 
Telnet Web 
° We b 管理 PC USG 
a Ethernet 5g 
SSH Server 
SSH 
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管理 员 主要 为 了 实现 对 设备 的 管理 、 配 置 和 维护 ， 登 录 方 式 可 以 分 为 : 
Console 
o ”Console 接 口 提供 命令 行 方式 对 设备 进行 管理 ， 通 常用 于 : 
o 设备 的 第 一 次 配置 。 或 者 设备 配置 文件 丢失 ， 没 有 任何 配置 。 
o 当 设 备 系统 无 法 启动 时 ， 本 通过 Console 口 进行 诊断 或 进入 BootRom 进 行 升级 。 
Web 
o 终端 通过 HTTP/HTfPs 方 式 登 录 到 设备 进行 远程 配置 和 管理 。 
Telnet 


o Telnet 是 一 种 传统 的 登录 方式 ， 通 常用 于 通过 命令 行 方式 对 设备 进行 配置 和 管理 


o 


FTP 
o FTP 管理 员 主要 对 设备 存储 空间 里 的 文件 进行 上 传 和 下 载 。 
SSH 


fsSSH 提 供 安 全 的 信息 保障 和 强大 的 认证 功能 ， 在 不 安全 的 网 络 上 提供 一 个 安全 的 
通道 ”。 此 时 ， 设 备 作为 SSH 服 务 器 。 
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Console/telnet/Ftp 设 备 管理 类 型 


。 新 建 管理 员 Client01， 并 设置 设备 管理 类 型 Console, Telnet, FTP. 






































新 建 管理 员 

用 户 名 client001 . x 

auss a hie 

APRA 管理 级 z 
信任 主机 #1 (+) 
高 级 

应 用 返回 
用 户 级 别 设置 为 管理 级 别 ， 
设置 信任 主机 IP， 指 定 特定 不 仅 可 以 配置 设备 ， 而 且 可 
的 主机 访问 a a ti 用 于 软件 

级 。 

















e Notes: 默认 Console, telnet, ftp 配 置 ， 无 需要 另外 配置 。 
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步骤 1: User-interface 

e Console: 
[sysname] user-interface console 0 
[sysname-ui-conO0] authenticationzmode aaa 

e Telnet: 
[sysname] user-interface vty 0 3 
[sysname-ui-vty0] authentication-mode aaa 
[sysname-ui-vtyO] protocol inbound all 

步骤 2: AAA View 
[USG] aaa 
[USG-aaalJocal-user client001 password cipher Admin@123 
[USG-aaa] local-user user-name service-type telnet terminal ftp 
[USG-aaa] local-user client001 level 3 


[USG-aaa] local-user admin ftp-directory flash: 
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SSH 设 备 管理 类 型 








= vs 必须 设置 SSH 认 证 方式 
= a 设置 认证 方式 为 Password 以 





























RERBA 


启用 Stelnet 和 SFTP 服 | eee e fans 
务 SSHRE 






































om 
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。 配置 RSA 本 地 密 钥 对 。 
<USG> system-view 
[USG] rsa local-key-pair create 
It will take a few minutes. Input the bits in the modulus[default = 512]:512 
Generating keys... ..+++++++P 和 4+ 
。 配置 VTY 用 户 界 面 。 
[USG] user-interface vty 0 4 
[USG-ui-vty0-4] authentication-mode aaa 
[USG-ui-vty0-4] protocol inbound ssh 
o 新 建 用 户 名 为 Client001 的 SSH 用 户 ， 且 认证 方式 为 password。 
[USG] ssh user client001 
[USG] ssh user client001 authentication-type password 
。 为 SSH 用 户 Client001 配 置 密码 为 Admin@123。 
[USGjhaaa 
[USG-aaa] local-user client001 password cipher Admin@123 


[USG-aaa] local-user client001 service-type ssh 
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SSH 设 备 管理 类 型 


。 创建 管理 员 Client01， 并 设置 设备 管理 类 型 为 SSH 








a saree 必须 设置 SSH 认 证 方式 
3 设置 认证 方式 为 Password M4 





























e SSH option (Notes: 默认 Console, telnet, ftp 配置 ， 无 需 另 外 配置 ) 






































REGEA ng Ne | 
启用 Stelnet 和 SFTP 服 全。 
务 
J 
| van 
2 Ae 
a on Ral 
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e 配置 SSH 用 户 Client001 的 服务 方式 为 STelnefSs 并 启用 STelnei 服 务 。 
[USG] ssh user client001 service-type\stelnet 
[USG] stelnet server enable 


以 上 配置 完成 后 ， 运 行 支持 35H 的 客户 端 软件 ， 建 立 3SH 连 接 
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s 9 p Par DS EA l 
Web 设 备 管理 类 型 
。 创建 管理 员 Client01， 设 置 用 户 级 别 。 
新 建 管理 员 
用 户 名 dient001 ° 
“aa seeceeses reste TETEE 
eT) = — 一 一 | ERa RTL 
信任 主机 #1 o 配置 设备 , 而 且 可 
加 高 级 以 管理 文件 系统 ， 
用 汪 软 件 升 级 。 
应 用 za 
。 设置 Https 服 务 端口 
REBAR ie 
HTTP 服 务 v eR 
HTTP 服 务 册 吕 5-50000>8h Adi 
一 一 一 | HTTP SERS YY 自用 
启 用 HTTPS ARH fd 设 canal 6666 *<1025-50000> 
置 HTTPS 服 务 端口 Web 服 务 超 提 间 10 e1140 
D ssrA & 
My 
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。 启动 Web 管 理 功能 。 
[USG] web-manager security enable port 6666 
。 配置 Web 用 户 。 
[USG] aaa 
[USG-aaa] local-user webuser password cipher Admin@123 
[USG-aaa] local-user webuser service-type web 


[USG-aaa] local-user webuser level 3 
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EMAAR Ee itt 


1 访问 Internet 1.1.1.1 首先 Http 192.168.1.1 Internet 应 用 服务 器 





2 推送 认证 界面 ，User=? Password=? 


( OE 
A? = 
5] 3 User=*** Password=*** 


g \ ise eee Fi | 192.168.1.1 
192.168.1.2 “Frew 168.1. lat 


5 访问 internet 1.1.1.1 





创建 Session 表 





a 


推送 认证 页 面 


X， 否 则 可 能 会 导致 认证 失败 
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上 网 用 户 上 线 的 流程 如 下 : 

访问 Internet 1.1.1.1 首先 Http 192.168%1.1 
推送 认证 界面 ，User=? Password=? 
User=*** Password=*** 

认证 通过 ， 建 立 连 接 

访问 internet 1.1.1.1， 设 备 创建 Session 表 


OH 2910 





组 织 结 构 管理 


。 系统 默认 有 一 个 根 用 户 组 

















。 每 个 用 户 组 可 以 包括 多 个 用 户 和 用 户 组 
。 每 个 用 户 组 只 能 属于 一 个 父 用 户 组 ; K 

















。 每 个 用 户 至 少 属于 一 个 用 户 组 ， 也 可 以 属于 多 个 用 户 组 ; 

















User Default 

Sub Group Sub Group Group 
sunxing 
zhansan firewall 

development 

Leader-svn SVN 

Leader 

zhansan leader-svn 
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为 了 给 不 同 的 用 户 或 部 门 进行 差异 化 管理 ， 分 配 不 同 的 权限 ， 需 要 对 组 织 结构 进行 规 
划 和 管理 。 防 火 墙 支持 创建 树 型 的 组 织 结构 ,这 种 结构 和 通常 的 行政 架构 比较 类 似 ， 非 常 





方便 规划 和 管理 。 


系统 默认 有 一 个 根 用 户 组 ， 其 余 所 有 用 户 组 都 是 根 用 户 组 的 子 组， 或 者 子 组 的 子 组 ; 





每 个 用 户 组 可 以 包括 多 个 用 户 和 用 户 组 ， 但 每 个 用 户 组 只 能 属于 一 个 父 用 户 组 ; 


每 个 用 户 至 少 属于 一 个 用 户 组， 也 可 以 属于 多 个 用 户 组 ; 


每 个 用 户 (组 ) 可 以 被 安全 策略 、 限 流 策略 、 等 引用 ， 从 而 实现 基于 用 户 的 权限 和 带 


宽 资源 控制 。 


0D 292 0 


单 点 登录 


。 用户 和 AD 认证 服务 器 组 网 需求 为 : 
o 用 户 管理 需求 
。 希望 防火 墙 可 以 识别 出 经 过 AD 域 账号 认证 通过 的 用 户 ， 避 免 用 只 
网 时 再 次 要 求 输入 用 户 名 /密码 。 
。 员 工 登 录 成 功 后 , 自动 将 其 用 户 信息 导入 到 本 地 , 且 添 加 到 指定 的 用 
户 组 中 。 


ROUTE USG5500 
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设备 通过 启用 单 点 登录 功能 ， 可 以 识别 出 经 过 这 些 身 份 认证 系统 认证 通过 的 用 户 ， 避 
免 用 户 上 网 时 再 次 要 求 输入 用 户 名 /密码 。 


O 293 0 


单 局 登录 认证 流程 


PC 用 户 AD server AD 监控 服务 程序 防火 墙 设备 


Er A 


Ed 3. 主动 给 AD 监控 服务 发 送 消 
(BPS. MAPHI 





4. 在 AD 服务 器 上 查找 用 户 组 信息 
+ 一 
5. 发 送 用户 名 用 所 组 等 信息 
-一 一 一 一 一 一 -一 一 一 > 


6. 设备 已 经 创建 在 线 用 户 列表 ， 用 户 直接 访问 外 部 资源 。 
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用 户 直接 向 AD 服 务 器 认证 ,设备 不 干涉 用 户 认证 过 程 ; 
。 AD 监控 服务 处 理 : 
o 客户 端 认证 成 功 后 , 主动 给 ADA 监 控 服务 发 送 用户 认 证 成 功 消 息 ，AD 监 控 服 务 从 
该 消息 中 获取 对 应 的 用 户 名 大 IP 地 址 信息 ; 
o ”AD 监 控 服 务 使 用 获取 的 用 户 在 AD 服 务 器 上 查找 用 户 的 组 信息 ; 


o ”AD 监控 服务 将 获取 到 用 户 名 、 用 户 组 名 、 用 户 IP 发 送 到 设备 (支持 丢 包 重 传 机 
制 ) 


。 设备 侧 处 理 : 
o 接收 并 解析 AD 服务 器 发 送 过 来 的 报 文 ; 
o 根据 收 到 的 用 户 登 录 信 息 创 建 在 线 用 户 监控 表 项 ; 


O 24] 





WEB 重 定向 密码 认证 


© ”用 户 不 主动 进行 认证 ， 先 进行 业务 访问 ， ee “ 重 定向 ”到 认证 页 面 。 
PC 用 户 墙 设备 
fl -S E 
1. PC 访问 www.baidu.com xX 
辽 - 设备 发 送 重 定向 报 文 ， a 于 弃 baidu 业 务 报 文 
3. 输入 用 户 名 密码 
认证 通过 




















5. 认证 成 功 后 ,页 面 将 自动 跳 转 到 用 户 只 见 访问 的 baidu 页 面 ,或 者 管理 员 指 定 的 业务 
= 。 注 : 只 有 用 户 进行 目的 端口 是 80 
ee eee ete 的 HTTP 业 务 请 间 时 ， 系 统 才 支 持 
= - 便 定 向 "AS 到 认证 页 面 ， 进 行 会 


E 高: 简体 中 文 


=g VEA 
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Web 重 定向 密码 认证 处 理 过 程 : 
PC 访问 www.baidu.com 


设备 收 到 用 户 访问 baidu 的 业务 报 文 后 , 将 该 报 文 丢弃 , 然后 构造 HTTP 重 定向 报 文 回 应 用 
È, 将 页 面 重 定向 至 ”设备 认证 页 面 ” 


用 户 输入 用 户 名 ,密码 信息 进行 认证 ; 


认证 成 功 后 ,页 面 将 自动 跳 转 到 用户 只 见 访问 的 baidu 页 面 ,或 者 管理 员 指 定 的 业务 (管理 
员 可 配 )。 


o0 295 





O 2% 0 


EMA RE 
配置 引导 
典型 配置 举例 - 免 认 证 
典型 配置 举例 -密码 认证 
典型 配置 举例 - 单 点 登录 
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本 地 密码 认证 / 
服务 器 认证 方式 


单 点 登录 方式 


配置 认证 办 
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配置 组 /用 户 : 设备 实施 基于 用 户 /用 户 组 的 管理 之 前 ， 必 须 先 创建 用 户 /用 户 组 。 设 备 
支持 管理 员 手 动 配置 、 本 地 导入 和 服务 器 导入 多 种 创建 方式 。 


。 手动 配置 组 /用 户 
a 缺 省 情况 下 ， 设 备 默认 自 带 根 用 户 组 root 组 。 


o 当 需 要 根据 企业 组 织 结构 创建 用 户 组 时 ， 并 基于 用 户 组 进行 网 络 权限 分 配 等 管理 
时 ， 该 步 又 必 选 。 


o ” 当 对 用 户 进行 本 地 密码 认证 时 ， 必 须要 在 本 地 创建 用 户 ， 并 配置 本 地 密码 信息 。 
。 本 地 导入 

o 本 地 导入 支持 将 CSV 格 式 文件 和 数据 库 dbm 文 件 的 用 户 信息 导入 到 设备 本 地 。 
。 服务 器 导入 


o 网 络 中 信使 用 第 三 方 认 证 服务 器 的 情况 非常 多 ， 很 多 公司 的 网 络 都 存在 认证 服务 
器 ,认证 服务 器 上 存放 着 所 有 用 户 和 用 户 组 信息 。 从 认证 服务 器 上 批量 导入 用 户 
是 指 通 过 服务 器 导入 策略 ， 将 认证 服务 器 上 用 户 (组 ) 信息 导入 到 设备 上 。 


OH 2970 





本 地 密码 认证 / 








认证 方式 进行 身份 认证 。 
的 IP 地 址 范围 时 ， 必 选 。 
址 对 用 户 进行 认证 前 ， 必 须 先 创建 基 于 IP 地 址 


配置 用 户 认 证 : 管理 员 通 过 配置 认证 策略 和 谈 证 选项 ， 指 定 茶 一 个 或 几 个 iP 地址 范围 


a ent 
。 ABER SIP pease 
。 配置 认证 策略 设备 基于 用 户 的 源 


范围 的 用 户 认证 策略 。 
。 配置 单 点 登录 参数 当 认 证 策略 中 页 允许 单 点 登录 时 ， 必 选 。 
。 配置 全 局 参数 认 i 已 有 缺 省 配置 。 


S 
Q 


QO 
a= 


创建 用 户 和 用 户 组 














言 息 全 其 他 参数 均 显 示 为 “-- 








账号 过 期 时 间 、 描 述 信 





”， 即 表示 非 用 户 组 相关 参数 ， 不 可 配置 。 
表示 用 户 ， 列 表 中 除 能 直接 显示 用 户 所 属 组 、 绑 定 信 息 、 


D 
息 以 及 当前 的 用 户 状态 ， 还 能 修改 用 户 状态 。 
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组 /用 户 
o 设备 实施 基于 用 户 /用 户 组 的 管理 之 前 y 该 用 户 / 用 户 组 必须 在 设备 上 存在 。 通 过 
组 /用 户 节点 ， 在 设备 上 手动 创建 用 户 /用 户 组 。 


新 建 用 户 组 
root 组 是 设备 默认 自 带 的 根 用 户 组 ， 不 能 删除 ， 也 无 需 创建 。root 组 的 组 名 不 能 修改 





， 但 可 以 配置 其 描述 信息 ， 方 便 识 别 。 
所 有 创建 的 用 户 组 都 是 root 组 的 子 组 ， 或 者 子 组 的 子 组 。 
选择 “用 户 > 上 网 用 户 > 组 /用 户 ”。 
可 选 : 在 冬 组 织 结构 ”中 选择 需要 添加 子 组 的 用 户 组 。 
备 会 自动 将 该 用 户 组 指定 为 所 


`, 
[== ran 


新 建 前 ， 如 果 预 先 选 定 所 属 的 用 户 组 ， 则 设 


口 


o 窍门 : 
属 组 。 
在 “成 员 管理 ”中 单 击 “ 新 建 ”， 选 择 “ 新 建 组 ” 


口 


。 新 建 单个 用 户 
创建 一 个 用 户 。 与 新 建 多 个 用 户 不 同 的 是 ， 新 建 单个 


新 建 单个 用 户 是 指 同一 时 刻 只 和 
用 户 时 全 除 能 完成 新 建 多 个 用 户 涉及 的 配置 项 外 ， 还 能 配置 用 户 显 示 名 、IP/MAC 地 址 双向 


BE. 


o 选择 “用 户 > 上 网 用 户 > 组 /用 户 ”。 
O 2990 


ACSA Pett 


RPS 上 网 用 户 BP > 









tia 用 户 的 账号 过 期 时 间 x 


HER © 


用 户 属性 ae 
ppan 
在 此 时 间 之 后 过 期 











帐号 过 期 时 间 


























只 能 在 昂 定 的 地 址 〔 计 算 机 ) LER. G, ettet 


可 被 其 他 用 户 使 用 
REE 《该 用 户 几 号 只 能 在 将 什 的 地 址 《计算 机 ) ba. 而 且 ， 该 地 址 也 仅 
允许 该 用户 使 用 。) 











如 果 该 用 户 是 MAC 地 址 双向 绑 定 免 认 证 用 户 过 当 用 户 和 设备 之 
允许 该 登录 名 同时 在 多 间 存 在 三 层 设 备 时 ， 则 该 用 et 录 拓 网 8 
台 计 算 机 上 登录 如 果 该 用 户 是 MAC 地 址 绑 定 用 户 ,入 但 采用 了 单 点 登录 方式 进行 
认证 ， 此 时 ，MAC 地 址 绑 a Orem. 
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。 账号 过 期 时 间 
o 用 户 的 账号 过 期 时 间 。 
。 人 允许 多 人 同时 使 用 该 账号 登录 


选中 该 参数 ， 表 示人 允许 多 大 同时 使 用 该 用 户 的 登录 名 登录 ， 即 允许 该 登录 名 同时 
多 人 台 计 算 机 上 登录 。 


去 选中 该 参数 ， 表 示 同 全 时 刻 仅 允 许 该 登录 名 在 一 全 计算机 上 登录 
e |P/MAC 绑 定 方 式 
o 用 户 与 IPHIMAC 地 址 的 绑 定 方式 。 


a 选中 ` 单 向 绑 定 ”， 表 示 用 户 只 能 使 用 指定 的 IP/MAC 地 址 进行 认证 ， 但 同 
时 允许 其 他 用 户 也 使 用 该 IP/MAC 地 址 进行 认证 。 


" 选中 “双向 绑 定 ”， 表 示 用 户 只 能 使 用 指定 的 IWMAC 地 址 进行 认证 ， 并 且 
指定 的 IPUMAC 地 址 仅 供 该 用 户 使 用 。 当 一 个 IP/UMAC 地 址 被 双向 绑 定 后 ， 其 
他 单 向 绑 定 此 IP/MAC 地 址 的 用 户 将 无 法 登录 。 


e IP/MAC 地 址 
上 与 用 户 绑 定 的 IP 地 址 、MAC 地 址 或 I P/MAC 地 址 对 。 


| 认证 策略 列表 
| Par na OO eis 加 用 全 部 命中 次 数 
策略 名 称 IP 地 址 范围 认证 方式 
guest 192.168.0.0-192 168.0.100 免 认 证 
第 1 ARIA 


配置 认证 策略 - 免 认 证 








¢ APS 上 网 用 户 S WEER 


新 建 认证 策略 
名 称 
Hië 
IP 地 址 范围 1 


guest 


192.168.0.0-192.168.0.100 








认证 方式 
认证 服务 器 类 型 
认证 服务 器 名 称 


本 地 密码 认证 /服务 器 认证 
本 地 密码 认证 /服务 器 认证 


只 允许 单 点 登录 





D 新 用 户 认证 选项 《新 用 户 指 本 地 不 存在 的 账户 







DiE: KRHS 











。 免 认 证 
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As hi BEDE SET 
Web 的 用 户 名 密码 
认证 。 

如 果 设 备 同 | 二 启用 











表示 用 户 不 需要 进行 基于 Web 的 用 户 名 密码 认证 。 如 果 设 备 同时 启用 了 单 点 登录 ， 则 
优先 通过 单 点 登录 功能 eat 了 认证 。 在 没有 单 点 登录 或 者 单 点 登录 不 成 功 的 情况 下 ， 


设备 根据 数据 包 的 源 IP 地 址 、 源 MAC 地 址 来 识 


! 别 用 户 。 


0 301 0 









































* s Ar: co s s 
= UY 
配置 认证 策略 -密码 认证 
e RPS HARA WINE 
认证 策略 列表 
+R Mone Ooi 中 用 演 全 部 命中 次 效 
MERR IP 地 址 范围 认证 方式 新 用 户 认证 选项 命中 次 数 an me Te 
guest 192 168.0.0-192.168.0.100 RUE 临时 用 户 1 F) 让 
employ 192.168.1.1-192.168.1.100 本 地 密码 认证 服务 器 认证 未 加 到 组 0 网 p7 7i 
- 用 户 上 网 用 户 UTG 
。 ”选择 用 户 > 上 网 用 户 > 认证 策略 
| arua 
ate employ . o ”设置 认证 策略 的 认 请 服务 器 类 型 
ait 为 RADIUS 
Piata 92 158.1 1-192 168.1.100 eo 
iene samau Ho 。 ”选择 用 户 > 认证 服务 器 >RADIUS 服 
认证 服务 吕 类 型 ots ue: n gz 
WER#32 [一 NONE — ~ 务 器 
加 新 用 户 认 证 选项 PN ms o ， 设置 RADIUS 认证 参数 
Radius 认 证 应 用 za 
N ae 
RADIUS 
RADIUS 服务 器 名 称 CC F 55M oseese 
认证 主 服 务 器 |P ia 5535 -= 
认证 从 服务 器 ao 设置 RADIUS 共享 密 钥 ， 密 钥 
Hen we 和 RADIUS 服 务 器 一 至 
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密码 认证 : 表示 用 户 需要 进行 基于 Web 的 用 户 名 密码 认证 ， 包 括 本 地 密码 认证 和 服务 
器 认证 。 
。 如 果 设 备 同 时 启用 了 单 点 登录 ， 则 优先 通过 单 点 登录 功能 对 用 户 进行 认证 。 
。 在 没有 单 点 登录 或 者 单 点 登录 不 成 功 的 情况 下 ， 设 备 在 本 地 查找 用 户 : 
o 如 果 用 户 在 本 地 存在 且 已 配置 本 地 密码 ， 则 进行 本 地 密码 认证 。 


o ”如果 用 户 在 本 地 不 存在 冷 或 者 在 本 地 存在 但 是 没有 配置 本 地 密码 ， 则 向 认证 服务 
器 认证 。 


0 302 0 


配置 认证 策略 -密码 认证 


| 认证 策略 列表 
+ HR ne ein E EE ns 
MERE Pea 认证 方式 新 用 户 认证 选项 命中 次 数 启用 RE 7 起 
guest 192.168.0.0-192.168.0.100 RUE 临时 用 户 1 可 gun 
employ 492:168.1.1-192.168.1.100 本 地 密码 认证 服务 器 认证 SEE 0 7) NC 
LDAP 认 证 AD 认证 





erana 








szar 
wn 1 nerasi 
ERS EPRI ao i impare 
TT so 165636 IERERBS 

amin Brine 

基本 信息 着 同 服务 基 机 加 名 




















用 Pi 地 下 usna 
anera 
armetan 
anc 
Tarn 
muma eee 
taastan Masse On 














选择 认证 
参数 











。 ”设置 认证 策略 的 认证 服务 器 类 型 LDAP 或 者 AD | mS 


Tyan 











。 设置 AD 或 LDAP 认 证 参数 
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EWeek STMT, ACB BAAN RA: 
1， 选 择 用 户 > 上 网 用 户 > 认 证 策略 

o 设置 认证 策略 的 认证 服务 器 类 型 为 LDAP 或 者 AD 
2 选择 用 户 > 认 证 服务 器 >LDAP 或 者 AD 服务 器 

o 设置 LDAP 或 者 AD 认证 参数 


0 303 0 

















配置 认证 策略 - 单 点 登录 


上 网 用 户 > 认证 第 略 






[+P aie Ra MRA Mme 
LEa IP 地 址 范围 认证 方式 新 用 户 认证 选项 

guest 192.168.0.0-192.168.0.100 免 认证 临时 用 户 

employ 192.168.1.1-192.168.1.100 本 地 客 码 认证 /服务 器 认证 添加 到 组 

hr 192.168.2.1-192.168.2.100 只 允许 单 点 登录 添加 





上 网 用 户 “认证 策略 

新 建 认证 策略 
名 称 
Hië 

IP 地 址 范围 1 


认证 方式 
加 新 用 户 认证 选项 

















设置 接 入 用 户 的 IP 地 址 
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只 人 允许 单 点 登录 : 表示 只 人 允许 用 户 通过 单 点 登录 方式 进行 认证 。 


\ 
wR 





上 网 用 户 -WEB 重 定向 密码 认证 


。 选择 “用 户 > 上 网 用 户 > 认证 选项 > 全 局 配置 ”。 









































单 点 登录 配置 。 ”全 局 配置 X 
IATA 本 跳 转 到 最 近 使 用 的 Wet 页 面 | O 跳 转 到 自 定义 URL 页 面 
自 定义 URL 页 面 
重 定向 认证 方式 © HTTP HTTPS 
认证 端口 8888 <1025-50000> | Web® 
E E] 3 era 定向 方式 
用 户 馈 定 时 间 5 <1-10> 分 钟 
在 线 用户 超 8 提 间 30 <1-655352 分 钟 
应 用 | 
ey 
o 跳 转 到 最 近 使 用 的 Web 页 面 
,大 天 ZI ESEN 
o 跳 转 到 自 定义 URL 页 面 
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在 Web 配 置 界面 中 ， 配 置 Web 重 典型 密码 认证 的 步骤 为 : 
1. AR “AA > 上 网 用 户 > 认证 选项 ”8 
2. 选择 “全 局 配置 ”页 签 。 
o 跳 转 到 最 近 使 用 的 Web 页 面 
" 认证 方式 为 密码 认证 的 用 户 认 证 通过 后 的 跳 转 页 面 为 最 近 使 用 的 Web 页 面 
， 即 用 户 认证 通过 后 ，Web 页 面 跳 转 到 用 户 认证 前 请 求 的 页 面 。 
o 跳 转 到 自 定义 URL 页 面 


" 针对 密码 认证 用 户 ， 用 户 认证 通过 后 的 跳 转 页 面 为 自 定义 URL 页 面 。 针 对 免 
认证 用 户 , ` 当 用 户 上 线 后 第 一 次 访问 HTTP (80 端 口 ) 业务 时 ， 系 统 将 给 用 


户 推 送 该 URL 页 面 。 
a 以 “http:// 或 “https:/A 开 头 , 例如 http:/www.test.com。 
o 认证 端口 
a 用 户 管理 Web 认 证 端口 。 
» 当 设 备 正在 处 理 业务 时 ， 修 改 Web 认 证 端口 将 可 能 影响 用 户 业务 
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过 本 地 和 服务 器 导入 用 户 


。 选择 “用 户 > 上 网 用 户 > 户 导 入 ”。 
o 本 地 导入 :本 地 导入 支持 将 CSV 格 式 文件 和 数据 库 dqbm 文 件 的 用 户 信息 导入 到 设备 本 地 。 


o ”服务 器 导入 :从 认证 服务 器 上 批量 导入 用 户 是 指 通过 服务 器 导入 策略 ， 将 认证 服务 器 上 用 户 
组 ) 信息 导入 到 设备 上 。 



































成 员 管 理 


中 新 建 > Kar Nay 加 批量 修改 图 移动 图 导出 w 加 导入 Hr zi 息 坦 询 | 加 高 级 查询 
名 称 所 属 组 绑 定 信息 账号 过 期 时 间 描述 











CSV 格 式 文件 导入 
从 文件 中 导入 用 户 〔 指 定格 式 的 CSV 表 格 文件 ) ”CSV 异 板 





不 载 ESV 模 板 ， 补 充 完 
整数 据 后 ， 点 击 浏览 ， 
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CSV 支 持 登录 名 、 显 示 名 、 所 属 组 、 描 述 信息 & 密码 、IP/MAC 绑 定 信息 、 绑 定 模 式 、 
帐号 状态 、 有 效 期 信息 


DBM 导 出 是 从 Ramdisk 导 出 用 户 数据 库 交 件 到 指定 目录 


用 户 导 入 是 指 批量 导入 用 户 信息 到 设备 ， 支 持 本 地 导入 和 服务 器 导入 。 其 中 ， 本 地 导 
入 支持 CSV 格 式 文件 ; 服务 器 导入 文 持 HDAP 服 务 器 和 AD 服务 器 导入 。 


。 从 CSV 格 式 文件 中 批量 导入 用 户 


o ”CSV 格式 文件 导入 十指: 将 用 户 信息 (登录 名 、 显 示 名 、 所 属 组 路 径 、 用 户 描述 
、 本 地 密码 等 ) 按照 指定 格式 的 CSV 表 格 文件 预先 编辑 完成 ， 再 将 CSV 格 式 文件 中 
的 用 户 信息 导 闪 到 设备 内 存 中 。 


o 将 之 前 从 设备 六 导出 的 CSV 格 式 文件 中 的 用 户 信息 导入 到 设备 内 存 中 。 
" 选择 六 用户 > 上 网 用 户 > 用户 导入 ”。 
a AE “AMSA” WE 
。 从 认证 服务 器 上 批量 导入 用 户 


o 网 络 中 ， 使 用 第 三 方 认证 服务 器 的 情况 非常 多 ， 很 多 公司 的 网 络 都 存在 认证 服务 
器 ， 认 证 服务 器 上 存放 着 所 有 用 户 和 用 户 组 信息 。 从 认证 服务 器 上 批量 导入 用 户 
是 指 通过 服务 器 导入 策略 ， 将 认证 服务 器 上 用 户 (组 ) 信息 导入 到 设备 上 。 
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通过 本 地 和 服务 器 导入 用 户 


。 选择 “用 户 > 上 网 用 户 > 用 户 导入 ”。 


。 本 地 导入 


o ”本 地 导入 支持 将 CSV 格 式 文件 和 数据 库 dbm 文 件 的 用 户 信息 导入 到 设备 本 地 。 


。 ”服务 器 导入 


o ”从 认证 服务 器 上 批量 导入 用 户 是 指 通 过 服务 器 导入 策略 ， 将 认证 服务 器 上 用 户 (组 ) 信息 导入 到 设备 和 汪 。 


成 员 管理 


Pree Kan 网 刷新 Breer 图 移动 AFE PSA 


名 称 KEHA 


BEES 


iis 


名 称 


息 坦 询 | 加 高 级 查询 
账号 过 期 时 间 tae 























xX 

















CSV 格 式 文件 导入 
从 文件 中 导入 用 户 《 指 定格 式 的 CSV 表 格 文件 ) ”CSV 模板 
自动 促 尘 用 户 组 > = 
SARETE MAHLAPZR 下 载 GSV 模 板 ? 补充 完 
整数 据 司 $ 点 击 浏览 ， 
和 着 小 传 数据 。 
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设备 只 支持 从 AD 和 LDAP 服 务 器 批量 导入 用 户 。 
" 选择 “用 户 > 上 网 用 户 > 用 户 导 入 ”。 
= 选择 “服务 器 导入 ”页 签 。 


W Huawei 





QO 3070 


在 线 用 户 管 理 


。 若 需 要 限制 某 些 用 户 在 某 段 时 间 内 所 有 上 网 行为 ， 可 以 冻结 指定 的 
在 线 用 户 。 


。 若 管理 员 觉察 到 某 些 用 户 不 可 信 ， 可 以 强制 注销 指定 的 在 线 用 户 A 





勾 选 某 个 用 户 ， 可 以 强 
制 注销 某 个 用 户 











=. 


Re masanna Bon $ 





Q zw | 国 高 级 查询 


二 
BRE (ERS... MRA IP 地 址 | 认证 方式 HRM ae 在 线 时 长 / 解 未 利 余 时 间 。 流量 KB) 


第 1 页 共 1 页 N 没有 记录 
在 线 用 户 被 冻结 后 ， 在 冻结 时 剖 汪 该 用 户 
不 能 访问 网 络 资源 ， 不 能 自 乱 注销 沪 也 不 能 
重新 发 起 用 户 认证 申请 。 
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通过 在 线 用 户 列表 ， 可 以 查看 已 经 通过 设备 谈 证 的 在 线 用 户 。 管 理 员 可 对 在 线 用 户 进 
行 相关 的 管理 操作 ， 例 如 强制 注销 。 


。 查看 在 线 用 户 
。 只 能 查看 已 经 通过 设备 认证 的 在 线 用 户 % 

o 选择 “用 户 > 上 网 用 户 过 监控 ”。 

o 在 “组 织 结构 ” 中 , /使 用 以 下 方式 的 一 种 来 查看 指定 用 户 组 的 在 线 用 户 的 信息 : 
。 查看 已 经 通过 设备 认证 的 在 线 用 户 。 


o 执行 命令 display user-manage [ vpn-instance { public | vpn-instance-name } ] online- 
user [ verbose ] [group group-name | ip-range start-ip-address end-ip-address | user 


user-name ]， 查 看 在 线 用 户 信息 。 
。 强制 注销 在 线 用 户 
o 执行 命令 system-view， 进 入 系统 视图 。 


0 执行 命令 user-manage cut online-user [ vpn-instance vpn-instance-name ] { group 
group-name | user user-name | ip ip-address }， 强 制 注 销 在 线 用 户 。 


。、 强 制 注销 全 部 在 线 用 户 
a 执行 命令 reset user-manage online-user [ vpn-instance { public | vpn-instance-name } 


]， 强 制 注销 全 部 在 线 用 户 





© 目录 


1. 用 户 认 证 简介 和 AAA 技术 原理 
2. 用 户 认 证 管理 及 应 用 
2.1 用 户 分 类 
2.2 管理 员 用 户 认证 流程 和 配置 






























































2.3 上 网 用 户 认证 流程 和 配置 
2.4 接 入 用 户 认证 流程 和 配置 
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PPP: 新 建 PPP 类 型 接 入 用 户 


创建 PPP/802.1X 类 型 接 入 用 户 


e ”用户 接 入 用 户 FHAA 


不 需要 指定 
PPP 用 户 类 型 





*(1-16 个 字符 ) 


802.1X: 新 建 802.1X 类 型 接 入 用 户 


e HAS BRAS HAA 





























J 








创建 PPP/802.1X 类 型 接 入 用 户 的 命令 行 参考 配置 为 : 


e PPP: 


[USG] aaa 


[USG-aaa] local-user client001 password cipher Admin@123 


[USG-aaa] local-user user-name,service-type ppp 


e 802.1X: 
[USG] aaa 


[USG-aaa] local-userelient001 password cipher Admin@123 


[USG-aaa] local-useruser-name service-type 802.1X 
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新 建 本 地 用 户 > 
户 名 sod 
PSR 用 户 组 — NONE -一 
不 需要 指定 non A 
802.1X 用 户 类 型 密码 seeee eh (1-1) 
确认 密码 eeeeeee » R 
Qy [m 
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SSL 用 户 


i ee ee ee mw 


‘g G ik 


(1) 登录 设备 ， 提 交 账 户 和 密码 PS | | 
'% 





1 
1 
1 
1 
1 
1 
E 








> g 于 防火 墙 验证 用 户 账 -一 
号 和 密码 
(2) 通过 用 户 认证 所 
. Y 账户 A 的 访问 资源 下 


-- d-~ 
和 


(3) 允许 访问 . y 账户 B 的 访问 资源 
a 人 一 


心 一 一 一 一 一 一 一 一 一 一 一 一 一 
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SSL VPN 是 以 HTTPS 为 基础 的 VPN 技 术 ,。 工作 在 传输 层 和 应 用 层 之 间 ， 在 Internet 基 础 上 
提供 机 密 性 的 安全 协议 。 主 要 提供 业务 有 We 代理、 网 络 扩展 、 文 件 共享 和 端口 转发 。 


。 SSL 协 议 通 信 的 握手 步骤 如 下 : 
o ”SSL 客户 端 向 SSL 服 务 器 发 起 连接 ,并 要 求 服务 器 验证 自身 的 身份 。 
o 服务 器 通过 发 送 自身 的 数字 证 书证 明 身 份 。 
o 服务 器 发 出 一 个 请 求 ， 对 客户 端的 证 书 进行 验证 。 
o 验证 通过 后 ， 协 商用 于 加 密 的 消息 加 密 算法 和 用 于 完整 性 检查 的 哈 希 函数 。 
由 客户 端 提供 它 支 持 的 所 有 算法 列表 ， 然 后 由 服务 器 选择 最 Spotty 


o 客户 端 和 服务 器 通过 以 下 步 又 生成 会 话 密 钥 : 


» 客户 端 生成 一 个 随机 数 ， 并 使 用 服务 器 的 公 钥 (从 服务 器 证 书 中 获取 ) 对 
EME, 以 送 到 服务 器 上 。 


人 服务 器 用 随机 数据 (客户 端的 密 钥 可 用 时 则 使 用 客户 端 密 钥 ， 否 则 以 明文 
方式 发 送 数 据 ) 响应 。 


= 使 用 哈 希 函数 从 随机 数据 中 生成 密 钥 。 
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创建 SSL 用 户 


。 SSL 本 地 用 户 : VPNDB 
e SSL 外 部 用 户 : 外 部 组 配置 RADUIS，LADP 






















o ”选择 “VPN > SSL VPN > 虚拟 网 关 列 表 ”。 K 
虚拟 网 关 列 表 VPNDB 本 置 ‘aa 
SRR 用 户 管理 组 管理 ZORE 

vider Fane as O 别 新 | 用 户 名 FEB 
o FARE 
Ss EPIA 从 | 到 a T aN 
MEN 用 户 名 UID GD NIPE 所 属 组 a iiai RE 
o RERE 第 1 AHA ~ 没有 记录 
© VPNOBRRE > 批量 导入 用 户 
o 外 部 组 配置 » 用 户 名 冲突 处 理 方式 ma 
o Web 代 理 WE Eft 
文件 共享 eet RiP ALARA. ALTE 
WOME 十 户 记录 格式 要 求 格式 1 用户 名 EB: 格式 2. 用 户 名 密码 UOCO: 等 茉 记录 以 回 车 换 行 结束 。 
网络 扩展 
9 日 志 管 理 
o miae 
o eRIISEIP 
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。 认证 方式 
o VPNDB 本 地 认证 
=» VPNDB 用 于 本 地 VPN 数 据 库 认 证 。 


» 本 地 认证 的 优点 是 速度 快 ， 可 以 降低 运营 成 本 ; 缺点 是 存储 信息 量 受 设 备 
硬件 条 件 限 制 。 
o 远 端 认证 
= 支持 通过 RADIUS 协 议 进 行 远 端 认证 。 
a 支持 通过 LDAP 协 议 进 行 远 端 认证 。 
o 证 书 认证 
=。 A 文 持 对 证 书 进行 有 效 性 认证 。 
。 授权 方式 
o VPNDB 本 地 授权 


= VPNDB 用 于 本 地 VPN 数 据 库 授权 ， 管 理 员 通 过 管理 用 户 和 组 来 维护 VPNDB。 
当 用 户 接 入 时 ， 根 据 本 地 配置 的 用 户 信息 (包括 用 户 名 、 密 码 及 其 他 属性 
) 进行 授权 。 


o 远 端 授权 
a 支持 通过 RADIUS 和 LDAP 进 行 远 端 授权 。 
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总 结 

。 用 户 认 证 简介 

。 AAA 技术 原理 

。 用 户 认 证 管理 及 应 用 
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日 
思考 题 
。 什么 是 AAA 认证 ， 有 哪些 典型 的 AAA 认证 方式 ? 
。 用 户 管理 有 哪些 分 类 ? 
。 单 点 登录 认证 流程 是 什么 ? xX 
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HCNA-Security-CBSN 第 光 章 防火 墙 
网 络 互联 技术 




















第 七 章 
防火 墙 网 络 互 联 技术 
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@ 目标 


本 课程 后 ， 您 将 能 够 : 
掌握 VLAN 的 基本 技术 
掌握 SA 与 E1 广 域 接口 技术 

o 掌握 ADsL 的 基本 技术 
掌握 WLAN 与 3G 无 线 技术 


dt 


口 


口 


口 
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1，VLAN 特 性 技术 
2，WLAN 特 性 技术 
3， 广 域 网 接口 技术 x 
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VLAN 产 生 背 景 一 广播 风暴 
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传统 的 局 域 网 使 用 的 是 HUB，HUB 只 有 一 根 总 线 ， 一 根 总 线 就 是 一 个 冲突 域 。 所 以 传 
统 的 局 域 网 是 一 个 扁平 的 网 络 ， 一 个 局 域 网 属于 同一 个 冲突 域 。 任 何 一 台 主 机 发 出 的 报 文 
都 会 被 同一 冲突 域 中 的 所 有 其 它 机 器 接收 到 。 后 来 ， 组 网 时 使 用 网 桥 〈 二 层 交换 机 ) 代替 
集线器 (HUB) ， 每 个 端口 可 以 看 成 是 闪 根 单独 的 总 线 ， 冲 突 域 缩 小 到 每 个 端口 ， 使 得 网 
络 发 送 单 播报 文 的 效率 大 大 提高 ， 极 大 地 提高 了 二 层 网 络 的 性 能 。 假 如 一 台 主 机 发 出 广播 
报 文 ， 设 备 仍然 可 以 接收 到 该 广播 信息 ， 我 们 通常 把 广播 报 文 所 能 传输 的 范围 称 之 为 广播 
域 ， 网 桥 在 传递 广播 报 文 的 时 候 依然 要 将 广播 报 文 复制 多 份 ， 发 送 到 网 络 的 各 个 角落 。 随 
着 网 络 规模 的 扩大 ， 网 络 中 的 广播 报 文 越 来 越 多 ， 广 播报 文 占用 的 网 络 资源 越 来 越 多 ， 严 

影响 网 络 性 能 ， 这 就 是 所 谓 的 广播 风暴 的 问题 。 


由 于 网 桥 二 层 网 络 工作 原理 的 限制 ， 网 桥 对 广播 风暴 的 问题 无 能 为 力 。 为 了 提高 网 络 
的 效率 ， 一 般 需 要 将 网 络 进行 分 段 : 把 一 个 大 的 广播 域 划分 成 几 个 小 的 广播 域 。 
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通过 VLAN 划 分 广播 域 


Port 1 : VLAN-1 Port 2 : VLAN-2 





page4 W Huawei 
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虚拟 局 域 网 (VLAN 一 一 Virtual Local Area Network) 逻辑 上 把 网 络 资源 和 网 络 用 户 按 
照 一 定 的 原则 进行 划分 ， 把 一 个 物理 上 实际 的 网 络 划分 成 多 个 小 的 逻辑 的 网 络 。 这 些小 的 
逻辑 的 网 络 形 成 各 自 的 广播 域 ， 也 就 是 虚拟 局 域 网 VLAN。 图 中 都 使 用 一 个 中 心 交 换 机 ， 
但 是 左右 各 属于 不 同 的 VLAN， 形 成 各 自 的 广播 域 ， 广 播报 文 不 能 跨越 这 些 广播 域 传送 。 

虚拟 局 域 网 将 一 组 位 于 不 同 物理 网 自 上 的 用 户 在 逻辑 上 划分 成 一 个 局 域 网 内 ， 在 功能 
和 操作 上 与 传统 LAN 基 本 相同 , ACER ESCA NR im AAW AR. 
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VLAN 帧 格式 


标准 以 太 网 帧 
DA SA TYPE DATA CRC 


xX 


带 有 IEEE802.1Q 标 记 以 太 网 帧 


0x8100 





TPID | Ťa | 
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VLAN Sk PREE 4E RAM BA MACS TYRE Z [ele 7 802.1Q TAG 标记 ， 包 括 两 个 部 分 
TPID 和 TCl。 


e TPID (Tag Protocol Identifier 站 标签 协议 标识 ) VLAN Tag 中 的 一 个 字段 ， 
IEEE802.1Q 协 议 规定 该 字段 的 取 值 为 0x8100。 
。 TCl 包 含 帧 的 控制 信息 : 
o ”Priority: 指 明 优 先 级 。 二 共有 0-7 的 8 种 优先 级 ; 
o canonical formgtsindicator(CFI):CFI 值 为 0 说 明 是 规范 格式 ， 值 为 1 是 非 规 范 格 
式 。 它 被 用 在 令 牌 环 / 源 路 由 FDDI 介 质 访问 方法 中 来 指示 封装 帧 中 所 带 地 址 的 比 
特 次 序 信 息 % 
o vlan identified(VLAN 1ID): 这 是 一 个 12 位 的 域 ， 指 明 VLAN 的 ID， 一共 4096 个 ， 
每 个 支持 802.1Q 协 议 的 交换 机 发 送出 来 的 数据 包 都 会 包含 这 个 域 ， 以 指明 自己 属 
于 哪 一 个 VLAN。 
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以 大 网 交换 机 端口 分 类 
e Accessin O 
e Trunk 端 口 


e Hybrid 端口 
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e Access 端口 
一 般 用 于 接 用 户 计 算 机 的 端口 ，access 端 口 具 能 属于 1 个 VLAN。 
e Trunk 端 口 
一 般 用 于 交换 机 之 间 连 接 的 端口 sstrunk 端 口 可 以 属于 多 个 VLAN， 可 以 接收 和 发 送 多 个 
VLAN 的 报 文 。 
e Hybrid 端口 
可 以 用 于 交换 机 之 人间 连 接 ， 也 可 以 用 于 接 用 户 的 计算 机 ，hybrid 端 口 可 以 属于 多 个 
VLAN， 可 以 接收 和 发 送 多 个 YLAN 的 报 文 。 
Hybrid 端 口 与 Tfunk 端 生 的 不 同 之 处 在 于 hybrid 端 口 可 以 允许 多 个 VLAN 的 报 文 不 打 标 签 
， 而 trunk 端 口 只 允许 缺 省 VLAN 的 报 文 不 打 标 签 。 在 同一 个 交换 机 上 hybrid 端 口 和 trunk 端 
口 不 能 并 存 。 
端口 的 缺 省 ID 《PVID) : PVID， 全 称 叫 Port VLAN ID， 表 示 端 口 所 属 的 VLAN。 
o ”Aeccess 端 口 只 属于 一 个 VLAN， 所 以 它 的 缺 省 ID 就 是 它 所 在 的 VLAN， 不 用 设置 。 


o Hybrid 端口 和 Trunk 端 口 属于 多 个 VLAN， 所 以 需要 设置 缺 省 VLAN D, HAET 
为 VLAN 1。 
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Access-Link 配 置 


。 默认 情况 下 ， 交 换 机 所 有 端口 都 是 Access-Link 端 口 ， 并 属于 VLAN-1 
， 即 PVID (Port VLAN ID) 为 1 





xX 


。 配置 端口 类 型 : 
portlink-type access 


。 创建 VLAN: 


Port-0/1 : VLAN3 






Port-0/2 : VLAN3 vlan 3 

。 向 VLAN 中 添加 端口 : 
port ethernet 0/1 

或 将 端 各 加 入 VLAN: 


Bert access vlan 3 
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Trunk-Link 配 置 


。 负责 传输 多 个 VLAN 的 数据 


e Trunk-Link 端 口 PVID 默 认为 1 


> Port-0/3 Port-0/3 S| X 
SN 
a= 


。 配置 端口 类 型 : | 
port link-type trunk 
。 配置 Trunk-Link 所 允许 传递 VLAN : 


port trunk permit vlan all 








。 配 置 Trunk-Link 端 口 PVID : 
port trunk pvid 1 
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Trunk 端 口 负责 在 交换 机 与 交换 机 之 间 传 递 多 个 VLAN 的 数据 帧 ， 具 体 允 许 传递 哪些 
VLAN 的 数据 帧 可 以 通过 命令 “port trunkipermit vlan [VID]" 来 实现 。 


这 里 有 条 命令 “port trunk pvid vlan-id “具体 作用 是 为 改变 Trunk 端 口 的 PVID 值 ，Trunk 


端口 PVID 值 的 意义 与 Access 端 口 PVID 的 意义 有 点 不 一 样 ， 在 Access 里 表示 端口 所 属 的 VLAN 
， 但 在 Trunk 里 却 表 示 默 认 VLAN 的 值 8 
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Hybrid-Link 配 置 


。 负责 传输 多 个 VLAN 的 数据 ， 并 确定 是 否 剥 离 Tag 
e Hybrid-Link 端 口 PVID 默 认为 1 


Bs) Port-0/3 Port-0/3 Ss) Xx 


。 配置 端口 类 型 : 
port link-type hybrid 

。 配置 hybrid 端 口 允许 通过 的 VLAN 信 息 及 PVID : 
port hybrid pvid 1 vlan 10 to 20 tagged 
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Hybrid 端 口 允 许多 个 VLAN 的 帧 通过 ， 并 可 以 在 出 端口 方向 将 某 些 VLAN 帧 的 Tag 剥 掉 。 
具体 允许 传递 哪些 VLAN 的 数据 帧 通过 且 剥 离 Tag, 可 以 使 用 下 述 命令 来 实现 : 


port hybrid { pvid vlan-id | vlan { vlan-id1 to vlan-id2 ] } & <1-10> { tagged | untagged }} 
其 中 untagged 参 数 代表 剥离 Tag 名 而 tagged 参 数 代表 不 剥离 Tag。 
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VLAN 接 口 配置 (Web ) 


选择 接口 的 连接 类 型 
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VLAN 间 路 由 





。 不 同 VLAN 之 间 的 流量 不 能 直接 跨越 VLAN 的 边界 ， 需 要 通过 三 层 设备 ， 将 
报 文 从 一 个 VLAN 转 发 到 另外 一 个 VLAN。 
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不 同 VLAN 间 要 进行 通信 ， 必 须 通 过 三 层 设备 如 路 由 器 或 三 层 交 换 机 实现 。 最 直接 的 办 
法 是 将 不 同 的 VLAN 连 接 到 三 层 设备 的 不 同 授 加 ， 通 过 路 由 实现 不 同 VLAN 间 的 数据 通信 。 
但 这 样 会 浪费 设备 上 有 限 的 物理 接口 % 为 解决 这 个 问题 ， 可 以 使 用 子 接口 。 


在 一 个 物理 接口 上 配置 多 个 子 接口 ， 这 些 子 接口 分 别 对 应 不 同 VLAN， 这 样 只 需 连 接 一 
个 物理 接口 就 可 实现 不 同 VLAN 之 间 的 数据 通信 。 
。 操作 步骤 

执行 命令 system-view， 进 入 系统 视图 。 

执行 命令 interfac interface-type interface-number.subinterface-number， 创 建 子 接口 并 
进入 子 接口 视图 。 

执行 命令 vlan-typedot1q vlan-id， 配 置 子 接口 的 封装 类 型 及 关联 的 VLAN ID。 


执行 命令 ip address ip-address { mask | mask-length } [ sub ]， 配 置 子 接口 的 IP 地 址 。 子 
接口 的 IP 地 址 和 主 接口 的 IP 地 址 可 以 在 同一 主 网 段 上 ， 但 其 子 网 掩 码 不 能 相同 。 
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WLAN#BE IAS 


e WLAN (Wireless Local Area Network, 无 线 局 域 网 ) 服 务 内 容 包 
括 : 
o 应 用 具有 无 线 局 域 网 功能 的 设备 建立 无 线 网 络 ， 带 有 无 线 网 卡 的 用 访 可 
以 连接 到 无 线 网 络 ， 并 能 够 接 入 固定 网 络 或 因特网 。 
o 无 线 用 户 可 以 访问 传统 802.3 局 域 网 。 
o 使 用 不 同 认证 和 加 密 方式 ， 安 全 地 访问 WLAN。 
o 为 无 线 用 户 提 供 安 全 的 网 络 接 入 和 移动 区 域内 的 无 颖 漫游 。 
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WLAN (Wireless Local Area Network, 无 线 局 域 网 ) 技 术 是 当今 通信 和 领域 的 热点 之 


一 ， 其 主要 原因 是 WLAN 系 统 便于 搭建 和 使 用 s, 部 署 时 不 需要 考虑 复杂 的 布线 和 变迁 。 然 
而 ，WLAN 系 统 不 是 完全 的 无 线 系统 ,s 它 的 服务 器 和 骨干 网 仍然 安置 在 固定 网 络 ， 只 是 用 
户 可 以 移动 。 

802.11 协 议 提供 的 无 线 安 全 性 能 可 以 很 好 地 抵御 一 般 性 网 络 攻 击 ， 但 是 仍 有 少数 黑客 
能 够 入 侵 无 线 网 络 ， 从 而 无 法 充分 保护 包含 敏感 数据 的 网 络 。 为 了 更 好 的 防止 未 授权 用 户 
接 入 网 络 ， 需 要 实施 一 种 性 能 高 所 802.11 的 高 级 安全 机 制 。 

USG2000 系 统 通过 合 入 WLEAN 安 全 特性 ， 来 增强 系统 的 安全 性 和 健壮 性 。 该 特性 通过 
检查 WLAN-MAC 的 方式 提供 802.11 客 户 端的 安全 接 入 。 
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WLAN 基 本 概念 


peana 。 无 线 客户 端 。 客户 端 
EN 。AP 。 无 线路 由 器 人 


。 开放 系统 认证 


。 共享 密 钥 认 证 











。 WEP 加 密 。 AES 加 密 
。 TKIP 加 密 。 WPA 
v nm 
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无 线 客户 端 (STA) 

在 一 个 网 络 中 ， 所 有 的 连接 到 无 线 介 质 的 设备 都 可 以 称 之 为 无 线 客 户 端 。 每 一 个 无 线 客 
户 端 都 装 有 支持 802.11 的 无 线 网 卡 。 无 线 客户 端 可 以 分 为 两 大 类 : AP 和 客户 端 。 

AP (Access Point， 接 入 点 ) 

AP 提 供 无 线 用 户 到 局 域 网 的 桥接 功能 ， 在 用 户 同 局 域 网 间 进 行 无 线 到 有 线 和 有 线 到 无 
线 的 帧 转换 。 我 们 的 USG2100/2200 就 是 个 AP 接 入 点 。 

客户 端 

可 以 是 便携 式 笔记 本 电脑 SS 信人 数字 助理 、IP 电 话 、 人 台式 机 或 者 装 有 无 线 网 卡 的 工作 站 
等 其 他 固定 设备 。 

无 线路 由 器 


能 提供 无 线 接 入 功能 的 路 由 器 ， 如 一 台 提 供 三 层 接口 并 可 作为 Fat AP 的 路 由 器 。 所 有 
的 无 线 客户 端 可 以 通过 无 线路 由 器 连接 到 有 线 网 络 、 固 定 网 络 或 者 互联 网 。 在 本 文档 中 
, Fat AP 和 无 线路 由 器 的 概念 是 可 以 互 换 的 。 


开放 系统 认证 六 Open system authentication) 

开放 系统 认证 是 缺 省 使 用 的 认证 机 制 ， 也 是 最 简单 的 认证 算法 ， 即 不 认证 。 如 果 认 证 类 
型 设置 为 开放 系统 认证 ， 则 所 有 请 求 认证 的 客户 端 都 会 通过 认证 。 

共享 密 钥 认证 (Shared key authentication) 

共享 密 钥 认 证 是 除开 放 系 统 认 证 以 外 的 另外 一 种 认证 机 制 ， 主 要 用 于 pre-RSN 设 备 。 这 
种 认证 机 制 只 有 在 使 用 WEP 加 密 时 才 可 用 。 用 来 兼容 老 的 设备 。 
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WLAN 基 本 概念 





基本 组 成 


。 无 线 客户 端 。 客户 端 


> 本 。 AP ° ranns K 





F 放 系统 认证 


。 共享 密 钥 认证 














加 密 
。 WEP 加 密 。 AES 加 密 
e TKIP 加 密 e WPA 
ro, 
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。 WEP 加 密 


WEP (Wired Equivalent Privacy， 有 线 等 效 加 密 ) 用 来 保护 无 线 局 域 网 中 的 授权 用 户 
所 交换 的 数据 的 机 密 性 ， 防 止 这些 数 据 被 随机 窃听 。 


。 TKIP 加 密 


TKIP 是 一 种 加 密 方法 ， 用 于 增强 pre-RSN 硬 件 上 的 WEP 协 议 的 加 密 的 安全 性 ， 其 加 密 的 
安全 性 远 远 高 于 WEP。 


e AES 加 密 


AES (Advanced Encryption Standard， 高 级 加 密 标准 ) 加 密 机 制 仅 用 于 RSNA 客 户 
端 。CCM 结 合 CTR 《Counter mode， 计 数 器 模式 ) 进行 机 密 性 校 验 ， 级 别 最 高 。 


e WPA 


Wi-Fi 保 护 访问 (Wi-Fi Protected Access, WPA) 是 一 种 使 无 线 电脑 网 络 更 安全 。 
WPA 实 现 了 IEEE802.11i 的 主要 标准 。WPA 改 进 了 WEP 的 认证 和 加 密 特 性 。 
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WLAN 配 置 举例 (命令 行 ) 


Ethernet 1/0/0 WLAN-BSS2 N Station 
— SE 
Internet = St = 1)) 
A X 一 X 
Ethernet 0/0/0 ) )) 
AP Station 
。 组 网 需求 


o AP 通过 EthernetO/0/0 接 口 (已 经 加 入 非 信 任 区 域 ) 连接 Router。 


a Ethernet0/0/0 有 固定 IP 地 址 : 202.169.10.1/24; Router 上 Ethernet1/0/0 的 IP 地 址 为 
202.169.10.2/24。 


a _ Station 的 IP 地 址 分 别 为 192.168.1.2/24 和 192.168.1.3/24。 

o ”Station 使 用 无 线 网 卡 连接 到 AP (USG) ，SSID 为 WLANTO0。 

o 使 用 WPA2-PSK 认 证 模式 ，CCMP 加 密 套件 ， 预 共享 (PS) 密 钥 为 abcdefgh 
o 要 求 通过 配置 WLAN ， 实 现 Station 的 无 线 上 网 





A 和 
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WLAN 配 置 举例 (Web) 


。 无 线 服务 的 安全 模 
Te: 

不 加 密 

WEP 


WPA、 wÀ 
WPA-PSK WPA 2- 














同 络 名 称 ( SSID) WLAN 190 *@ 
采用 加 密 方式 的 本 
安全 模式 。 SSIOr $ J ; 


RAR PR oe 1-64 
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在 Web 配 置 界面 中 ， 配 置 WLAN 的 操作 步骤 如 不 : 
1. 选择 “无 线 8DSL > WLAN > 基本 配置 入 。 
2. 选中 “无 线 网 络 功能 ”对 应 的 “启用 ”。 和 如 果 无 线 网 络 功能 已 经 启用 ， 请 忽略 本 步 又 
3. 单 击 “ 无 线 服务 列表 ”中 的 “新 建 ”。 
. 依次 输入 或 选择 各 项 参数 。 
5. 单 击 “ 应 用 ”。 
SSID 为 服务 集 的 名 称 , 洗 线 工作 站 必须 配置 与 AP 相 同 的 SSID 才 能 访问 AP。 


开启 SSID 广 播 后 ， 住 何 无 线 用 户 都 可 以 搜索 到 该 无 线 网 络 的 存在 ， 容 易 受到 攻击 。 关 
闭 SSID 广 播 后 ， 这 样 无 线 用 户 就 无 法 搜索 到 网 络 名 称 ， 从 而 提高 网 络 的 安全 。 对 于 专业 用 
户 ， 还 是 可 以 通过 黑客 软件 搜索 到 SSID。 如 果 想 最 大 程度 提高 网 络 安全 ， 建 议 配置 高 级 的 
安全 模式 并 启用 数据 加 密 。> 建 议 在 配置 无 线 网 络 的 时 候 ， 开 启 SSID 广 播 ; 配置 完成 (网络 
调 测 通过 ) 后 , 关闭 SsID 人 六 播 。 


WLAN 的 命令 行 配置 参考 如 下 : 


[USG] interface Vlanif 2 // 创 建 VIanif 2 接口 。 


iN 


[USG-Vlanif2] ip address 192.168.1.1 24 
[USG] interface wlan-bss 2 //§2S WLAN-BSS# O 


[USG-Wlan-Bss2] port access vlan 2 
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WLAN 配 置 举例 (Web) 


决定 了 射频 信号 的 属性 ， 
如 能 量 级 别 、 信 道 总 数 
和 信道 分 布 。 













无 线 局 域 网 使 用 的 802.11 
协议 类 型 有 : 802.11a 、 
802.11an、802.11b 、 
802.11g ~ 802.11gn 










(© 天 SLS WANS BREES 


国家 和 地 区 








当 设 置 为 “auto” 时 ， 每 当 设备 
重启 、 射 频 类 型 变化 、 射 频 接口 
关闭 再 开启 时 ， 都 会 重新 扫描 信 
道 ， 选 择 一 个 空闲 的 信道 使 用 。 
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在 Web 配 置 界面 中 ， 配置 WLAN 的 高 级 选项 步骤 为 : 
1. 选择" 无 线 &DSL > WLAN > 高 级 配置 
2. 依次 输入 或 选择 各 项 参数 。 


3. 单 击 “ 应 用 ”。 


信道 号 取 值 范围 会 随 国 家 和 地 区 代码 、 射 频 类 型 的 不 同 而 不 同 。 当 设置 为 “auto" 时 ， 
每 当 设 备 重启 、 射 频 类 型 变化 守 绸 频 接口 关闭 再 开启 时 ， 都 会 重新 扫描 信道 ， 选 择 一 个 空 
闲 的 信道 使 用 。 


在 设置 射频 接 加 的 最 大 传输 速率 时 ， 较 大 的 传输 功率 ， 可 以 将 无 线 信 号 覆盖 的 范围 更 
大 ， 方 便 远 端的 无 线 客户 端 接 入 。 不 要 将 射频 接口 的 传输 功率 设置 过 大 ， 这 样 可 以 避免 本 
Ap 与 其 他 AP 间 发 送 冲突 和 干扰 ， 并 且 由 于 传输 功率 的 减弱 ， 可 以 将 无 线 信号 的 传输 范围 
控制 在 本 地 区 域 六 在 一 定 程 度 上 可 以 提高 无 线 网 络 安全 性 。 


[USG].wlansservice-class 2 crypto // 配 置 服务 类 
[USG-wlan-sc-2] ssid WLAN100 

[USG-wlan-sc-2] authentication-method wpa2-psk 
[USG-wlan-sc-2] encryption-suite ccmp 


[USG-wlan-sc-2] pre-shared-key pass-phrase abcdefgh 
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[USG-wlan-sc-2] service-class enable 

[USG] interface wlan-rf 4/0/0 // 配 置 射频 接口 
[USG-Wlan-rf4/0/0] radio-type dot11gn 

[USG-Wlan-rf4/0/0] bind service-class 2 interface wlan-bss 2 


最 后 ， 配 置 无 线 接收 客户 端 ， 无 线 网 卡 上 的 SSID、 加 密 方式 、 预 共享 (SRY 密 钥 应 
与 USG 设 备 上 保持 一 致 。 


WLAN 的 命令 行 配 置 参 考 如 下 : 
[USG] interface Vlanif 2 /创建 Vianif 2 接口 
[USG-Vlanif2] ip address 192.168.1.1 24 
[USG] interface wlan-bss 2 // 配 置 WLAN-BSS 接 口 
[USG-Wlan-Bss2] port access vlan 2 
[USG] wlan service-class 2 crypto /| 配置 服务 类 
[USG-wlan-sc-2] ssid WLAN100 
[USG-wlan-sc-2] authentication-method wpa2-psk 
[USG-wlan-sc-2] encryption-suite,ccmp 


[USG-wlan-sc-2] pre-shared-key pass-phrase abcdefgh 


[USG-wlan-sc-2] service-class enable 
[USG] interface wlan-rf 4/0/0 // 配 置 射 频 接 口 
[USG-Wlan-rf4/0/0]sradiostype dot11gn 


[USG-Wlan-rf4/0/0] bind service-class 2 interface wlan-bss 2 


最 后 ， 配 置 无 线 接收 客户 端 ， 无 线 网 卡 上 的 SSID、 加 密 方式 、 预 共享 (PSK) 密 钥 应 
与 USG 设 备 上 保持 一 致 。 
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什么 是 SA 串口 


串口 是 最 常用 的 广域网 接口 之 一 ， 分 为 同步 串口 和 异步 串口 ; 

SA 可 以 工作 在 DTE 和 DCE 两 种 方式 ; 

SA 作为 上 行 接口 ， 链 路 上 可 以 承载 多 种 类 型 的 业务 ， 如 HTTP、 g 
等 ; 

SA 支持 的 链 路 层 协议 类 型 包括 PPP、HDLC ; 

SA 支持 IP 网 络 层 协议 ; 


GE @) 


SYNC/ASYNC Serial Port 
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串口 是 最 常用 的 广域网 接口 之 一 ， 分 为 同步 串口 和 异步 串口 。 现 在 应 用 广泛 的 是 同步 
串口 。 

SA 接口 为 同步 串口 ， 支 持 V2.4、 台 .5、WMX.21、RS449、RS530 式 线 缆 ， 其 波 特 率 有 多 
种 选择 ， 以 适应 不 同 的 对 端 设备 ， 最 大 带宽 为 2.048Mb/s， 适 合 运营 商 和 一 般 企 业 客户 的 
业务 数据 传输 需求 。 其 典型 组 网 为 SA 接口 作为 上 行 口 承载 业务 ， 企 业 通 过 向 运营 商 租 用 一 
条 SA 的 专线 来 连接 广域网 或 行业 网 8 

SA 可 以 工作 在 DTE sbData Terminal Equipment) 和 DCE (Data Circuit-terminal 
Equipment) 两 种 方式 。 气 般 情 况 下 ， SA 作为 DTE 设备 ， 接 受 DCE 设备 提供 的 时 钟 。 

SA 作为 上 行 接 口 s 链 路 上 可 以 承载 多 种 类 型 的 业务 ， 如 HTTP、FTP 等 。 为 了 有 效 利用 
上 行 带宽 ， 需 要 与 Qo5 一 起 使 用 。 同 时 ，USG2200 支 持 L2TP 和 IPSec VPN 特 性 ，S5A 口 可 以 作 
为 VPN 隧 道 的 一 端 ， 承 载 (2TP 和 IPSec 隧 道 。 





SA 串口 -配置 举例 -命令 行 方式 


USG2200 B USG2200 A 


Bs) Serial 1/0/0 Serial 1/0/0 司 


10.110.1.10/24 10.110.1.11/24 


。 配置 USG 2200A 

# 配 置 serial1/0/0 接 口 ， 封 装 协议 采用 PPP， 其 他 采用 默认 值 
<USG2200A>system-view 
[USG2200Alinterface serial 1/0/0 
[USG2200A-serial1/0/0]ip address 10.110.1.11 255.255.255.0 
[USG2200A-serial1/0/O]link-protocol ppp 
[USG2200A-serial1/0/0]shutdown 
[USG2200A-serial1/0/O]Jundo shutdown 


注意 : 配置 完毕 后 ， 要 将 serial1/0/0 接 口 加 入 安全 域 中 , 竺 打开 域 间 默 认 包 过 滤 规则 。 
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USG2200 B 配 置 : 

# 配 置 Serial1/0/0 端 口 ， 封 装 协议 采用 PRP， 其 他 采用 默认 值 
<USG2200 B>system-view 

[USG2200 Blinterface serial 1/0/0 

[USG2200 B-serial1/0/O]ip address™t0.110.1.10 255.255.255.0 
[USG2200 B-serial1/0/O]link-protocol PPP 

[USG2200 B-serial1/0/0]shutdown 

[USG2200 B-serial1/0/OJundo shutdown 
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SA 串口 -配置 举例 Web) 


修改 Serial 










接口 名 称 接口 封装 的 链 路 
a Rains “Rep” 
VPN 实 例 public {ve 或 者 “HDES o 









-NONE- 






类 型 Ora EPK 服务 器 - 

选中 启用 访问 
IP 地 址 EE, RTA 
FRE 用 接口 访问 控制 






管理 。 














» 
> 
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在 Web 配 置 界面 中 ， 配 置 SA 串口 的 步骤 为 : 
1. 选择 “网 络 > 接口 > 接口 ”。 
2. 点 击 Serial 接 口 后 方 的 编辑 框 ， 进 入 串口 编辑 视图 。 
3. 依次 输入 各 项 参数 。 


选中 “启用 访问 管理 ”, ,表示 启用 接口 访问 控制 管理 ， 人 允许 用 户 通过 HTTP、HTTPS、 
Ping、SSH、SNMP 以 及 Telnet 访 问 接口 ， 对 设备 实施 管理 。 


通过 启用 访问 管理 配置 的 访问 控制 ， 其 优先 级 高 于 其 他 方式 包 过 滤 。 在 不 选中 “启用 
访问 管理 ”的 情况 下 ， 设 备 会 根据 本 地 策略 来 判断 报 文 是 否 允 许 通 过 。 
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什么 是 E1/cE1 


。 E1 接 口 是 广 泛 应 用 的 低速 WAN 物 理 接口 ， 处 于 PDH 速 率 体系 的 底层 ， 通 过 
不 同 的 应 用 模式 为 用 户 提供 灵活 的 低速 接 入 方式 。 

。 USG 支 持 的 E1 有 两 种 模式 : E1 模 式 和 CE1 模 式 ， 在 E1 模 式 下 所 有 时 隙 都 被 用 
于 传输 数据 ; 在 CE1 模 式 下 ， 为 31 路 PCM ， 其 中 16 号 时 隙 也 被 用 于 传输 赤 


E1/CE1 
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现在 的 数字 传输 系统 都 采用 脉 码 调制 REM (Pulse Code Modulation) 体制 。PCM 最 初 
是 为 了 使 电话 局 之 间 一 条 中 继 线 不 只 传送 一 路 而 是 可 以 传送 多 路 电话 而 设计 的 。 欧 洲 的 30 
路 PCM ， 简 称 为 E1。E1 有 32 个 时 隙 TsA(Timie Slot) ， 其 中 有 30 路 时 阶 用 来 传输 数据 ，0 号 
时 隐 传 输 帧 同步 和 告警 信念 ，16 号 时 隐 传 输 控 制 信念 。E1 的 最 大 速率 是 2.048Mbit/s。 

E1 接 口 的 本 质 是 时 分 复 用 (TBNwSs。E1 接 口 具有 多 种 应 用 模式 : 非 通道 化 〈 仅 El1 支 
持 ) /通道 化 /部 分 通道 化 /PRI。,E1 接 上 日 的 物理 特性 包括 : 时 钟 、 编 码 、 帧 格式 、 帧 同步 、 
空闲 码 、 帧 间 填 充 、 环 回 。 

E1 接 口 可 以 将 所 有 时 阶 或 除 帧 头 以 外 的 所 有 时 隙 捆绑 为 一 个 逻辑 接口 ， 该 逻辑 接口 与 
同步 串口 具有 相同 的 逻辑 特性 。 

CE1 接 口 可 以 将 所 有 时 隙 捆绑 为 一 个 逻辑 接口 ， 或 将 除 帧 头 以 外 的 所 有 时 隙 捆绑 为 多 
个 逻辑 接口 ， 每 个 逻辑 接口 与 同步 串口 都 具有 相同 的 逻辑 特性 。 

E1 接 口 只 能 工作 在 净 通 道 模式 或 非 通道 化 模式 ，CE1 接 口 只 能 工作 在 净 通 道 模 式 或 通 
道 化 模式 .人 通道 化 六 非 通道 化 、 净 通道 概念 如 下 : 

e 通道 化 (Chahnelized) : (Framed) 下 ， 数 据 码 流 (E1、T1、E3、DS3 
等 入 除 帧 头 以 外 的 时 隙 可 以 分 配 到 多 个 通道 内 。 
e 非 通道 化 (Unchannelized) : 指 在 成 帧 模式 (Framed) 下 ， 数 据 码 流 除 帧 头 以 外 的 所 
有 时 隙 只 能 被 绑 定 一 次 ， 分 配 到 一 个 通道 内 。 
， 净 通 道 (Clear Channel) : 也 称 为 非 成 帧 模式 (Unframed) ， 即 数据 码 流 没有 定 帧 信号 
码 流 里 的 任意 比特 都 是 数据 。 当然 ， 码 流 里 的 数据 也 只 能 属于 一 个 通道 。 
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E1 暴 型 组 网 


。 点 对 点 互联 
SE 


。 点 对 多 点 互联 








协议 转换 器 


128K A 
— 分 支 1 
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在 E1 点 对 点 互联 型 组 网 中 ， 可 以 有 三 种 对 接 方 式 : 
。 E1 接 口 互 联 
。 E1 接 口 通 过 协议 转换 器 与 对 端 设备 串口 相连 
。 两 端 设备 的 串口 通过 协议 转换 器 与 对 端 相连 
在 点 对 多 点 互联 型 组 网 中 , /总 部 设备 出 接口 可 以 为 2M E1 接 口 或 者 155M 的 CPOS 接 口 ， 
根据 总 部 接口 的 不 同 ， 对 端 设 备 的 接口 速率 也 会 有 所 差异 。 


配置 方法 


i r £ 





\ 


人 eseosn D 
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。 物理 接口 配置 
controller e 9/0/0 
clock master 
code hdb3 
frame-format no-crc4 
using ce1 
channel-set 0 timeslot-list'1-4 
channel-set 1 timeslot-list 5-8 
。 逻辑 接口 配置 
interface Serial9/0/0:0 
link-protocol ppp 
ip address™400.1.1.1 255.255.255.252 
# 
interface Serial9/0/0:1 
link-protocol ppp 
ip address 110.1.1.1 255.255.255.252 


# 
0 30 


E1/cE1 配 置 举 例 (Web) 


























ob HE 96 MER FO Bias || BRS) 同 asia 
接口 名 称 安全 区 域 Ip 地 址 VLAN Tag ax 连接 类 型 RHPH. BA 配置 
E1 1/010 + + m| 
' ”网络 gon 接口 
修改 E1 ~ 
点 击 该 图 标 进入 E1 
接口 名 称 接口 修改 界面 ， 但 
别名 接口 名 称 避 能 修改 。 
当前 E1 模 式 非 成 帧 © 成 由 
钱 路 编 解码 格式 AMI ©) HDB3 
RER CRC4 ©) NO-CRC4 
时 钟 模式 =n © 从 时 钟 
TEE 
时 障 掩 绑 结 果 | Ses - — 
: 该 参数 只 在 “当前 
E1 模 式 ” 为 “成 帧 
模式 ”时 需要 配置 。 
应 用 返回 
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在 Web 配 置 界面 下 ，E1/cE1 的 配置 步 又 为 : 
1. 选择 “网 络 > 接口 > 接口 ”。 
2. 单 击 E1 接 口 所 在 行 的 配置 项 。 
3. 重新 输入 或 选择 各 项 参数 。 其 中 这 “接站 名 称 ”不 可 修改 。 
4. 单 击 “应 用 ”。 


为 E1/CE1 接 口 配置 时 阶 捆 绑 时 。 该 参数 只 在 “当前 E1 模 式 ” 为 “成 巾 模 式 ” 时 需要 配 
置 。 配 置 方法 如 下 : 


1. 单 击 “ 时 阶 捆绑 配置 ”， 选 择 或 输入 各 项 参数 ， 

2. 捆绑 模式 : 配置 EMCE1 接 口 的 时 队 捆 绑 模 式 。 

3. 单 击 “ 添 加 /全 如果 操作 成 功 ，“ 时 阶 捆绑 结果 ”中 将 添加 新 配置 项 。 
4. Bate “WE” 


什么 是 ADSL? 


e ADSL ( Asymmetric Digital Subscriber’ s Line ) : 
o 非 对称 数 字 用 户 线路 ,其 特点 是 从 服务 提供 商 到 用 户 端 (F17) SMA 
户 端 到 服务 提供 商 (上行 ) 具有 不 同 的 数据 速率 。 
ee 4 
达到 896kbps， 由 于 ADSL 的 下 行 速率 不 等 于 且 远 远大 于 上 行 速 率 ， 
所 以 被 称 作 非 对 称 DSL 技 术 。 
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ADSL 在 一 对 电话 线 上 同时 承载 语音 业务 和 数据 业务 ， 利 用 现 有 的 PSTN 网 络 设施 ， 采 用 
特殊 的 调制 技术 ， 在 保证 不 影响 正常 电话 使 用 的 前 提 下 ， 利 用 原 有 的 电话 双 绞 线 进行 高 速 
数据 传输 。 实 现 用 户 接 入 网 络 运行 数据 业务 的 需求 。 
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ADSL 配 置 参考 命令 如 下 : 

[USG] dialer-rule 1 ip permit 
[USG] interface Dialer 1 
[USG-Dialer1] dialer User USG 
[USG-Dialer1] dialer bundle 1 
[US G-Dialer1] dialer-group 1 
[US G-Dialer1] link-protecol ppp 


ADSL 关 键 配 置 思路 
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// 配 置 拨号 规则 

// 创 建 Dialer 接 口 ， 并 进入 Dialer 视 图 。 
// 指 定 要 拨号 的 远 端 用 户 名 。 
// 指 定 拨号 口 使 用 的 dialer bundle. 

// 配 置 Dialer 1 接口 所 属 的 拨号 访问 组 。 
// 配置 链 路 层 协 议 为 PPP。 


[USG-Dialer1] ip address ppp-negotiate // 使 用 协商 方式 获取 IP 地 址 
[USG-Dialerl] pppipcp dns admit-any // 使 用 协商 方式 获取 DNS 地 址 
[USG-Dialerl] ppp pap local-user Aocdefgh~ password simple Abcdefgh~ 
// 使 用 PAP 认 证 方式 ， 用 户 名 和 密码 均 Abcdefgh~ 


[US G-Didler1] quit 
[USG] interface Virtual-Ethernet 1 
[US G-Virtual-Ethernet1] quit 


// 退 回 系统 视图 。 
// 创 建 接口 Virtual-Ethernet 1. 





ADSL 关 键 配 置 思路 
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[USG] interface Atm2/0/0 //M EZ Atm 2/0/0 

[USG-Atm2/0/0] PVC 8/35 // 配 置 接口 Atm 2/0/0 的 PVC 值 
[USG-Atm2/0/0-8/35] map bridge virtual-ethernet 1 // 配 置 与 虚 接 口 映 射 
[USG-Atm2/0/0-8/35] encapsulation llc // 配 置 PVC 的 封装 类 型 为 LLC 
[USG] interface VirtualsEthernet 1 // 配 置 PPPoE 会 话 。 
[USG-Virtual-EthernefTNpppoe-client dial-bundle-number 1 

[USG] interface Vlanif 1 // 将 Vlanif 接 口 和 Dialer 接 口 分 别 加 入 安全 区 域 。 
[USG-Vlanif. ip address 192.168.0.1 24 

[USG-VIanif] quit 

[USGJfirewall zone trust 

[USG-zone-trust] add interface Vlanif 1 


[US G] firewall zone untrust // 将 Dialer 1 接口 加 入 Untrust 域 。 


[USG-zone-untrust] add interface Dialer 


0 490 


ADSL 关 键 配 置 思路 
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。 对 于 USG 系 列 ， 配 置 域 间 包 过 滤 ， 以 保证 网 络 基 本 通信 正常 。 对 于 USG BSR/HSR 系 列 
， 不 需要 执行 此 步 又 。 


[USG] policy interzone trust untrust inbound 
[USG-policy-interzone-trust-untrust-inbound] policy 0 


[US G-policy-interzone-trust-Untrust-inbound-0] action permit 
。 ANATHRA RHH. 
[USG] nat-policy interzone trust untrust outbound 
[US G-nat-policy-interzone-trust-untrust-outbound] policy 1 
[USG-nat-polity-interzone-trust-untrust-outbound-1] action source-nat 


[US G-nat-policy-interzone-trust-untrust-outbound-1] policy source 192.168.0.0 
0.0.0.255 


[US G-nat-policy-interzone-trust-untrust-outbound-1] easy-ip Dialer 1 
。` 配 置 缺 省 路 由 。 


[USG] ip route-static 0.0.0.0 0.0.0.0 Dialer 1 
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ADSL 关 键 配置 举例 (Web) 






XDSL2/0/Q 
v 启用 







> 
当前 状态 : O° pir 


这 部 分 参数 需要 根 
Ja E 
数 进行 配置 。 





一 直 在 线 ; 适用 于 
a) 不 计 流 量 、 不 计时 
EER TE E 间 的 场合 ; SAB 
= p 动 断 线 ( 秒 ) : 适 
用 于 对 流量 和 链 路 
使 用 时 间 敏 感 的 场 














A 
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在 Web 配 置 界面 中 ，ADSL 的 配置 步骤 如 下 : 
1. 选择 进入 “无 线 8DSL > XDSL > XDSL 接 口 编号 ”视图 界面 。 
2. 选中 “XDSL 功 能 ”对 应 的 “启用 ”。 
3. 单 击 “ 应 用 ”。 
4. 单 击 “PVC 配 置 列 表 ” 中 的 、* 新 建 、 。 
5. 依次 输入 或 选择 各 项 参数 


6. 单 击 “ 应 用 ”。 
选择 在 线 方式 , [ 既 选 择 拨号 方式 ，USG 防 火 墙 提 供 两 种 拨号 方式 : 
“一 直 在 线 ” 


链 路 建立 兵 ， 当 链 路 没有 业务 流量 时 ， 设 备 会 发 送 保 活 报 文 来 维持 链 路 Up。 
。 “空闲 自动 断 线 CR) ” 


只 有 存在 数据 需要 传送 时 ， 设 备 才 会 触发 建立 链 路 。 当 链 路 没有 流量 的 时 间 到 达 超 时 
时 间 后 淮 设备 会 拆除 链 路 ， 以 节约 流量 。 
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什么 是 36 
。 3G 是 Third Ceneration 的 缩写 ， 全 称 第 三 代 移 动 通信 系统 。 
。 3G 的 标准 


a WCDMA xX 


o TD-SCDMA 
a CDMA2000 


a toeo 


宽带 上 网 视频 通话 手机 电视 无 线 搜索 手机 音乐 
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3G 是 Third Ceneration 的 缩写 ， 全 称 第 三 伐 移 动 通信 系统 ， 最 早 由 国际 电信 联盟 ITU 
于 1985 年 提出 ， 该 系统 工作 在 2000MHz 频 段 澡 最 高 业务 速率 可 达 2000kbit/s。 


3G 标 准 有 WCDMA (RRIAK) ~ CDMA2000 (美国 版 ) 和 TD-SCDMA (中 国 版 ) o 
CDMA 是 Code Division Multiple Access ( 码 分 多 址 ) 的 缩写 ， 是 第 三 代 移 动 通信 系统 的 
技术 基础 。 


WCDMA， 全 称 为 Widebgnd GDMA， 也 称 为 CDMA Direct Spread， 意 为 宽频 分 
码 多 重 存 取 ， 这 是 基于 CSM 网 发 展 出 来 的 3G 技 术 规范 。 


CDMA20002 AŻ #CDMA(CDMA 1IS95) 技 术 发 展 而 来 的 宽带 CDMA 技 术 ， 也 称 为 
CDMA Multi-Carrier。 目 前 中 国电 信和 正在 采用 这 一 方案 向 3G 过 渡 ， 并 已 建成 了 CDMA 
IS95 网 络 。 


TD-SCDMA 全 称 为 Time Division - Synchronous CDMA (时 分 同步 CDMA)， 该 标准 
是 由 中 国 大 陆 独自 制定 的 3C 标 准 。 


3C 能 实现 很 多 移动 业务 : 
o 宽带 上 网 
o 视频 通话 
o 手机 电视 
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36 应 用 配置 举例 一 命令 行 方式 


Ethernet 1/0/0 


192.168.1.99 Dialer? 


)) — 一 一 一 (((#))) 
USG2100 "4 





-aaa 
a USG2200 使 用 Ethernet 1/0/0 接 口 连接 企业 内 部 网 络 ， 使 用 USB._36- SO70 接 口 接 入 
Internet。 
。 组 网 要 求 : 
o 企业 内 网 所 在 网 段 为 192.168.1.0/24。 
o 使 用 Dialer 0 接口 进行 按 需 拨号 。 
o ”Express-3G 接 口 的 IP 地 址 由 无 线 网 络 协商 分 配 。 £ 





N 
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36 应 用 配置 思路 
xX 


y 
| ore 
ee 
emcee 








。 因为 不 同 的 运营 商 所 提供 的 网 络 服务 中 的 
各 参数 有 所 不 同 ，3G 了 配置 也 会 有 所 差异 。 
配置 前 请 查看 对 应 的 用 高 手册 。 
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3G 应 用 配置 举例 ， (命令 行 配置 ， 以 联通 为 例 ) : 
firewall packet-filter default permit all 
dialer-rule 1 ip permit 
interface DialerO 
link-protocol ppp //TD-SCDMA,. WCDMA Zc 338d SPPPIAIE; 
ppp ipcp dns admit-any 
ip address ppp-negotiate 
dialer enable-circular 
dialer-group 1 // 此 序号 应 与 相应 dialer-rule 的 序号 一 致 
dialertimer idle 60 
dialer timer autodial 10 
dialer number.*99# autodial //WCDMABYR-S B99 # 
interface Cellular5/0/0 
apn UNINET/ /WCDMA 制式 配置 为 UNINET; TD-SCDMA 制 式 需 配置 为 CMNET ; 
link-protocol ppp 
dialer.circular-group 0 // 此 序号 应 与 相应 dialer 接 口 的 序号 一 致 
iproute-static 0.0.0.0 0.0.0.0 Dialer0 
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3G 应 用 配置 举例 Web) 





选择 接 入 互联 网 方式 


请 根据 网 络 服务 商 提供 给 您 的 信息 选择 接 入 互联 网 方式 。 























静态 IP 
如 果 您 从 网 络 服务 商 处 获得 一 个 固定 的 IP 地 址 或 者 |P 地 址 段 ， 请 选择 此 连接 类 型 。 X 
DHCP wg 了 
加 果 您 从 网 络 服务 商 自动 获取 IF 地 址 À eo ae wean: loon 
PPPoE / XDSL 基本 配置 
如 果 您 从 网 络 服务 商 处 获得 一 个 用 户 名 外 sy 可 局 用 
9 36 用 户 名 user (©) 
如 果 您 的 设备 安装 了 3G 上 网 卡 ， 请 选择 | wg o [oooososs | 国 
RSS 
在 线 方式 一 直 在 线 
© 空闲 自动 断 线 ( 秒 ) 600 1<1-65535 
安全 区 域 untrust vj: 
NAT 功 能 BA ®© 
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在 Web 配 置 界面 中 ，3C 应 用 的 配置 步骤 如 下 * 
选择 进入 “无 线 &DSL> 3G > 3G 配 置 入 视图 。 
2. 依次 输入 或 选择 各 项 参数 
o 3G 功 能: 只 有 启动 本 功能 后 , \ 才 会 触发 3C 拨 号 。 
o 用 户 名 : 拨号 使 用 的 用 户 名 a 
o 密码 : 拨号 使 用 的 密码 。 


o 拨号 串 : 拨号 合用 的 拨号 串 。TD-SCDMA 、WCDMA 的 拨号 串 是 *998# ， 
CDMA2000 的 拨号 串 是 #777 


o 在 线 方式 : 当 用 户 是 包月 用 户 或 者 按 流量 计 费 的 用 户 时 选择 “一 直 在 线 ”方式 。 
当 用 户 是 按时 计 费 的 用 户 时 请 选择 “空闲 自动 断 线 ” 方 式 。 在 “空闲 自动 断 线 ( 
秒 ) 全 内 如 果 没 有 流量 通过 ， 则 断 开 互联 网 的 访问 。 


3. 单 击 FR” o 
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总 结 


。 VLAN 的 基本 技术 
。 WLAN 的 基本 技术 
。 SA、E1、ADSL、3G 技 术 
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思考 题 


。 VLAN 有 哪些 接口 类 型 ” 各 接口 类 型 对 Tag 是 如 何 处 理 ? 

。 WLAN 配 置 主要 由 哪些 关键 步骤 组 成 ? 

。 什么 是 E1? ~ 
。 什么 是 SA? 

ADSL 的 上 行 和 下 行 是 什么 意思 ? 

3G 配 置 主要 由 哪些 关键 步骤 组 成 ? 
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目标 


。 学 完 本 课程 后 ， 您 闪 
。 了 解 VPN 概 仿 
o 了解 VPN 有 哪些 关键 技术 x 
o 了 解 VPN 分 类 及 应 用 
了解 L2TP 基 本 原理 知识 及 基本 配置 方法 
o 掌握 GRE VPN 的 基本 原理 及 配置 方法 
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VPN 定 义 


e VPN 
虚拟 专用 网 (Virtual Private Network) 是 一 种 “通过 共享 的 公共 网 络 建立 私有 
的 数据 通道 ， 站 
， 构 成 一 个 专用 的 、 具 有 一 定安 全 性 和 服务 质量 保证 的 网 络 ”。 

。 虚拟 
用 户 不 再 需要 拥有 实际 的 专用 长 途 数 据 线路 ， 而 是 利用 Internet 的 长 途 数 据 
线路 建立 自己 的 私有 网 络 。 

。 专用 网 络 


用 户 可 以 为 自己 制定 一 个 最 符合 自己 需求 的 网 络 。 
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虚拟 专用 网 (VPN) 是 指 通过 共享 的 公共 网 络 建立 私有 的 数据 通道 ， 将 各 个 需要 接 入 





虚拟 网 的 网 络 或 终端 通过 通道 连接 起 来 ,构成 二 个 专用 的 、 具 有 一 定安 全 性 和 服务 质量 保 
证 的 网 络 。 


传统 的 VPN 组 网 主要 采用 专线 VPN 和 基于 客户 端 设备 的 加 密 VPN 两 种 方式 。 专 线 VPN 是 
指 用 户 租用 数字 数据 网 (DDN) 电路 \ ATM 永 久 性 虚 电 路 (PVC) 、 帧 中 继 (FR) PVCS 
组 建 一 个 二 层 的 VPN 网 络 ， 骨 于 网 络 由 电信 运营 商 进 行 维护 ， 客 户 负 责 管理 自身 的 站 点 和 
路 由 。 基 于 客户 端 设备 的 加 密 VPN 则 将 VPN 的 功能 全 部 由 客户 端 设备 来 实现 ，VPN 各 成 员 
之 间 通 过 非 信 任 的 公 网 实现 互联 % 第 一 种 方式 的 成 本 比较 高 ， 扩 展 性 也 不 好 ; 第 二 种 方式 
对 用 户 端 设备 及 人 员 的 要 求 较 高 。 

IETF 草 案 对 基于 IP 的 VPN 的 理解 是 : “使 用 IP 机 制 仿真 出 一 个 私有 的 广域网 ”。 即 通过 
隧道 技术 在 公共 数据 网 络 上 模拟 出 一 条 点 到 点 的 专线 技术 。 所 谓 虚 拟 ， 是 指 用 户 不 再 需要 
拥有 实际 的 专用 长 途 数据 线路 ， 而 是 利用 Internet 的 长 途 数据 线路 建立 自己 的 私有 网 络 。 所 
谓 专 用 网 络 ， 则 是 指 用 户 可 以 为 自己 制定 一 个 最 符合 自己 需求 的 网 络 。 


随 着 IP 数 据 通 信 技 术 的 不 断 发 展 ， 基 于 IP 的 VPN 技 术 逐 渐 成 为 VPN 市 场 的 主流 。 由 于 IP 
VPN 采 用 IP 网 络 来 承载 ， 而 且 运 营 商 网 络 越 来 越 完善 ， 因 此 成 本 较 低 ， 服 务 质量 也 足以 满 
足 客户 需求 ， 并 且 具 有 较 好 的 可 扩展 性 和 可 管理 性 。 也 正 是 如 此 ， 越 来 越 多 的 用 户 开始 选 
择 IP VON, /运营 商 也 建设 IP VPN 来 吸引 更 多 的 用 户 。 
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VPN 常 见 技术 
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VPN 主 要 通过 隧道 技术 来 实现 业务 交付 ， 但 是 由 于 公 网 上 业务 复杂 ， 安 全 性 较 差 ， 
此 VPN 还 需 采取 其 他 技术 保证 数据 的 安全 性 ， 宇 要 包括 加 解密 技术 、 密 钥 管理 技术 、 数据 
认证 技术 和 身份 认证 技术 等 。 
。 隧道 技术 

隧道 技术 是 VPN 技 术 中 最 关键 的 技术 。 隧 道 技 术 是 指 在 隧道 的 两 端 通过 封装 以 及 解 幸 
装 技术 在 公 网 上 建立 一 条 数据 通道 ， 使 用 这 条 通道 对 数据 报 文 进行 传输 。 隧 道 是 由 隧道 协 
议 形成 的 ， 分 为 第 二 、 三 层 隧 道 协议 。 二 层 隧道 协议 ， 使 用 二 层 网 络 协 议 进行 传输 ， 它 主 
要 应 用 于 构建 远程 访问 虚拟 专 网 ， 第 二 层 隧道 协议 主要 有 L2F、PPTP、L2TP 等 。L2TP 协 议 
是 目前 IETF 的 标准 ， 由 IETF 融 合 PPTP 与 L2F 而 形成 ; 三 层 障 道 协议 ， 用 于 传输 三 层 网 络 协议 
， 它 主要 应 用 于 构建 企业 内 部 虚拟 专 网 和 扩展 的 企业 内 部 虚拟 专 网 ， 主 要 的 第 三 层 隧道 协 
WAVTP, IPSec. IPSec (IP Security) 由 多 个 协议 组 成 ， 并 通过 这 个 协议 集 来 提供 安全 协 
议 选择 、 安 全 算法 、 确定 服务 所 使 用 密 钥 等 服务 ， 从 而 在 IP 层 提供 安全 保障 。 
。 数据 认证 技术 和 身份 认证 技术 

数据 认证 技术 主要 保证 数据 在 网 络 传输 过 程 中 不 被 非法 自 改 。 数 据 认 证 技术 主要 采用 
哈 希 算法 ， 由 于 哈 希 算法 的 不 可 逆 特 性 以 及 理论 上 的 结果 唯一 性 ， 因 此 在 摘要 相同 的 情况 
下 可 以 保证 数据 没 被 自 改 过 。 

身份 认证 技术 主要 保证 接 入 VPN 的 操作 人 员 的 合法 性 以 及 有 效 性 ， 主 要 采用 “用 户 名 
密码 仿 方 式 进行 认证 ， 对 安全 性 较 高 的 还 可 以 使 用 USB KEY 等 认证 方式 。 
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。 加 解密 技术 

加 解密 技术 是 数据 通信 中 一 项 较 成 熟 的 技术 ，VPN 技 术 可 以 借助 加 解密 技术 保证 数据 
在 网 络 中 传输 时 不 被 非法 获取 。 即 当 数 据 被 封装 入 隧道 后 立即 进行 加 密 ， 只 有 当 数 据 到 达 
隧道 对 端 后 ， 才 能 由 隧道 对 端 对 数据 进行 解密 。 
。 密 钥 管理 技术 

密 钥 管理 技术 再 VPN 中 的 主要 任务 是 在 不 安全 的 公用 数据 网 上 安全 地 传递 密 钥 而 不 被 
取 。 最 典型 的 应 用 就 是 IKE 技 术 ，IKE 技 术 主要 被 IPSec VPN 所 借用 ， 具 体 原理 将 在 随后 章 
进行 介绍 。 


q4 S 
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密 技 术 


me 
T 
。 信息 密码 学 
a 加 密 : BLEE 。 


加 解 





密码 服务 
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加 密 是 一 个 过 程 ， 它 使 信息 只 对 正确 的 接收 者 可 读 ， 其 他 用 户 看 到 的 是 杂乱 无 序 的 信 
息 ， 使 其 只 能 在 使 用 相应 的 密 钥 解密 之 后 才能 显示 出 本 来 内 容 。 通 过 加 密 的 方法 来 达到 保 
护 数 据 不 被 非法 人 窃取 、 阅 读 的 目的 ， 加 密 在 网 络 上 的 作用 就 是 防止 私有 化 信息 在 网 络 上 
被 拦截 和 窃取 。 一 个 简单 的 例子 就 是 密码 的 传输 ， 计 算 机 密码 极为 重要 ， 许 多 安全 防护 体 
系 是 基于 密码 的 ， 密 码 的 泄露 在 某 种 意义 上 来 讲 意 味 着 其 安全 体系 的 全 面 骨 溃 。 

因此 密码 提供 的 服务 也 是 信息 安全 的 服务 要 求 : 
。 机 密 性 : 通过 数据 加 密实 现 

提供 只 允许 特定 用 户 访问 和 阅读 信息 ， 任 何 非 授权 用 户 对 信息 都 不 可 理解 的 服务 。 这 
是 使 用 加 密 的 普遍 原因 。 通 过 小 心 使 用 数学 方程 式 ， 可 以 保证 只 有 对 应 接收 人 才能 查看 它 
。 完整 性 : 通过 数据 加 密 > 散 列 或 数字 签名 来 实现 

提供 确保 数据 在 存储 和 传输 过 程 中 不 被 未 授权 修改 〈 纂 改 、 删 除 、 插 入 和 重 放 等 ) 的 
服务 。 对 安全 级 别 需求 较 高 的 用 户 来 说 ， 仅 仅 数据 加 密 是 不 够 的 ， 数 据 仍 能 够 被 非法 破解 
并 修改 。 
。 鉴别 性 : 通过 数据 加 密 、 数 据 散 列 或 数字 签名 来 实现 

提供 与 数据 和 身份 识别 有 关 的 服务 ， 即 认证 数据 发 送 和 接受 者 的 身份 。 
作 不 可 否定 性 : 通过 对 称 加 密 或 非 对 称 加 密 ， 以 及 数字 签名 等 ， 并 借助 可 信 的 注册 机 构 或 
证 书 机 构 的 辅助 来 实现 

提供 阻止 用 户 否认 先前 的 言论 或 行为 的 抗 抵赖 服务 。 
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加 密 作为 保障 信息 安全 的 一 种 方式 ， 它 不 是 现代 才 有 的 ， 它 产生 的 历史 相当 久远 ， 可 
以 追溯 到 人 类 刚刚 出 现 ， 并 且 尝 试 去 学 习 如 何 通 信 的 时 候 。 他 们 不 得 不 去 寻找 方法 确保 他 
们 的 通信 的 机 密 。 但 是 最 先 有 意识 地 使 用 玉 些 技术 方法 来 加 密 信 息 的 可 能 是 公元 六 年 前 的 
古 希 腊 人 。 他 们 使 用 的 是 一 根 叫 scytale 的 棍子 ， 送 信人 先 绕 棍子 卷 一 张 纸 条 ， 然 后 把 要 加 
密 的 信息 写 在 上 面 ， 接 着 打开 纸 送 给 收 信 人 人。 如 果 不 知道 棍子 的 宽度 (这 里 作为 密 钥 ) 是 
不 可 能 解密 信里 面 内 容 的 。 

大 约 在 公元 前 50 年 ， 古 罗马 的 统治 者 凯撒 发 明了 一 种 战争 时 用 于 传递 加 密 信息 的 方法 
， 后 来 称 之 为 “凯撒 密码 ”pe* 它 的 原理 就 是 : 将 26 个 字母 按 自然 顺序 排列 ， 并 且 首尾 相连 
， 明 文中 的 每 个 字母 都 用 其 后 的 第 三 个 字母 代替 ， 例 如 HuaweiSymantec 通 过 加 密 之 后 就 变 
成 KxdzhlvBPdqwhf 。 


近期 加 密 技 术 主 要 应 用 于 军事 领域 ， 如 美国 独立 战争 、 美 国内 战 和 两 次 世界 大 战 。 在 
美国 独立 战争 时 期 、 曾经 使 用 过 一 种 “双轨 ”密码 ， 就 是 先 将 明文 写成 双轨 的 形式 ， 然 后 
按 行 顺序 书写 在 第 一 次 世界 大 战 中 ， 德 国人 曾 依靠 字典 编写 密码 ， 比 如 : 10-4-2， 就 是 
某 字 典 第 J0 页 ， 第 4 段 的 第 2 个 单词 。 在 二 次 世界 大 战 中 ， 最 广为人知 的 编码 机 器 是 德国 人 
的 Enigma 三 转 轮 密码 机 ， 在 二 次 世界 大 战 中 德国 人 利用 它 加 密 信息 。 


20 世 纪 ， 美 国人 对 计算 机 的 研究 就 是 为 了 破解 德国 人 的 密码 ， 当 时 的 人 们 并 没有 想到 
计算 机 给 今天 带 来 的 信息 革命 。 随 着 计算 机 的 发 展 ， 运 算 能 力 的 增强 ， 传 统 密码 的 破解 变 
得 条 分 简单 了 ， 同 时 随 着 计算 机 在 商业 、 个 人 等 领域 的 不 断 扩展 ， 使 得 商业 或 个 人 对 数据 
保护 ”数据 传输 的 安全 性 、 防 止 信息 数据 泄露 越 来 越 重 视 ， 正 是 因为 这 些 原因 大 大 促进 了 
加 密 技 术 的 发 展 ， 美 国人 提出 了 公 钥 加 密 体系 ， 从 而 使 加 密 技术 进入 一 个 全 新 的 发 展 阶段 
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对 称 加 密 算法 也 叫 传统 密码 算法 (秘密 密 钥 算法 、 单 钥 算 法 ) ， 加 密 密 钥 能 从 解密 密 钥 
中 推算 出 来 。 发 件 人 和 收 件 人 共同 拥有 同一 余 密 钥 ， 既 用 于 加 密 也 用 于 解密 。 对 称 密 钥 加 
密 是 加 密 大 量 数据 的 一 种 行 之 有 效 的 方法 % 对 称 密 钥 加 密 有 许多 种 算法 ， 但 所 有 这 些 算法 
都 有 一 个 共同 的 目的 : 以 可 以 还 原 的 方式 将 明文 (未 加 密 的 数据 ) 转换 为 暗 文 。 由 于 对 称 
密 钥 加 密 在 加 密 和 人 解密 时 使 用 相同 的 密 铜 ， 所 以 这 种 加 密 过 程 的 安全 性 取决 于 是 否 有 未 经 
授权 的 人 获得 了 对 称 密 钥 。 特 别 注 意 : 希望 使 用 对 称 密 钥 加 密 通 信 的 双方 ， 在 交换 加 密 数 
据 之 前 必须 先 安全 地 交换 密 钥 。 


衡量 对 称 算法 优 劣 的 主要 尽 度 是 其 密 钥 的 长 度 。 密 钥 越 长 ， 在 找到 解密 数据 所 需 的 正 
确 密 钥 之 前 必须 测试 的 密 钥 数 量 就 越 多 。 需 要 测试 的 密 钥 越 多 ， 破 解 这 种 算法 就 越 困 难 。 
有 了 好 的 加 密 算法 和 足够 长 的 密 钥 ， 如 果 有 人 想 在 一 段 实际 可 行 的 时 间 内 逆转 转换 过 程 ， 
从 暗 文 中 推导 出 明文 ， 从 应 用 的 角度 来 讲 ， 这 种 做 法 是 徒劳 的 。 


非 对 称 算法 也 叫 公 钢 加 密 ， 使 用 两 个 密 钥 : 一 个 公 钥 和 一 个 私 钥 ， 这 两 个 密 钥 在 数学 上 
是 相关 的 。 在 公 钥 加 密 中 > 公 钥 可 在 通信 双方 之 间 公开 传递 ， 或 在 公用 储备 库 中 发 布 ， 但 
相关 的 私 钥 是 保密 的 。“ 只 有 使 用 私 钥 才能 解密 用 公 钥 加 密 的 数据 。 使 用 私 钥 加 密 的 数据 只 
ERARAS 与 对 称 密 钥 加密 相 似 ， 公 铀 加 密 也 有 许多 种 算法 。 然 而 ， 对 称 密 钥 和 公 铀 
算法 在 设计 上 并 无 相似 之 处 。 您 可 以 在 程序 内 部 使 用 一 种 对 称 算法 替换 另 一 种 ， 而 变化 却 
不 大 ， 因 为 它们 的 工作 方式 是 相同 的 。 而 不 同 公 钥 算法 的 工作 方式 却 完 全 不 同 ， 因 此 它们 
不 可 互 换 % 

公 钥 算 法 是 复杂 的 数学 方程 式 ， 使 用 十 分 大 的 数字 。 公 钥 算法 的 主要 局 限 在 于 ， 这 种 
加 密 形式 的 速度 相对 较 低 。 实 际 上 ， 通 常 仅 在 关键 时 刻 才 使 用 公 钥 算法 ， 如 在 实体 之 间 交 
换 对 称 密 铀 时 ， 或 者 在 签署 一 封 邮件 的 散 列 时 ( 散 列 是 通过 应 用 一 种 单 向 数学 函数 获得 的 
二 个 定 长 结果 ， 对 于 数据 而 言 ， 叫 做 散 列 算法 ) 。 
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。 对 称 密 钥 算 法 体系 包括 : 
o 明文 (plaintext): 这 是 原始 消息 或 数据 ， 作 为 算法 的 输入 。 
o 加 密 算法 (encryption algorithm): “加密 算 法 对 明文 进行 各 种 替换 和 转换 。 
o 秘密 密 钥 (Secret key): 秘密 密 钥 也 是 算法 的 输入 。 算 法 进行 的 具体 替换 和 和 转换 
取决 于 这 个 密 钥 。 
o 密 文 (ciphertext): 这 是 产生 的 已 被 打 乱 的 消息 输出 。 它 取决 于 明文 和 秘密 密 钥 
。 对 于 一 个 给 定 的 消息 4 两 个 不 同 的 密 钥 会 产生 两 个 不 同 的 密 文 。 
o 解密 算法 (decryption algorithm): 本 质 上 是 加 密 算法 的 反 向 执行 。 它 使 用 密 文 
和 同一 密 钥 产 生 原 始 明 文 。 
。 加 解密 过 程 如 下 : 
1、 发 送 者 用 密 钥 K 将 明文 X 加 密 为 Y， 这 个 过 程 表示 为 Y=E[K,X]。 
2、 接 收 者 用 密 钥 K 将 密 文 Y 解 密 为 X， 这 个 过 程 表示 为 X=D[K,Y]。 
© 对 称 加密 的 安全 使 用 有 两 个 要 求 : 
h 需要 一 个 强 (strong) 加 密 算法 。 这 个 要 求 简单 地 说 就 是 : 密 钥 要 足够 强壮 ， 使 得 
攻击 者 不 能 通过 已 有 的 明文 和 密 文 对 应 来 破解 。 
2、) 密 钥 的 传递 需要 一 个 安全 的 方式 。 也 就 是 要 求 发 送 者 要 把 密 钥 通过 安全 的 方式 告诉 
接收 者 ， 不 能 让 第 三 方 知道 。 
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有 很 多 特殊 的 数学 算法 来 实现 对 称 加 密 ， 主 要 包括 两 类 : 
e 流 加 密 算法 (stream algorithm) 


流 加 密 算法 在 算法 过 程 中 连续 输入 元 素 % 一 次 产生 一 个 输出 元 素 。 典 型 的 流 密码 算法 
一 次 加 密 一 个 字 节 的 明文 ， 密 钥 输入 到 六 个 伪 随 机 字 节 生成 器 ， 产 生 一 个 表面 随机 的 字 节 
流 ， 称 为 密 钥 流 。 流 加 密 算法 一 般 用 在 数据 通信 信道 ， 浏 览 器 或 网 络 链 路 上 常见 的 流 加 密 
算法 : RC4 是 Ron Rivest 在 1987 年 为 RSA Security 公 司 设计 的 流 加 密 算法 。 它 是 密 钥 大 小 可 
变 的 流 密码 ， 使 用 面向 字 节 的 操作 ,就 是 实时 的 把 信息 加 密 成 一 个 整体 。 

e 分 组 算法 (block algorithm) 


分 组 加 密 算法 的 输入 为 明文 分 组 及 密 钥 ， 明 文 被 分 为 两 半 ， 这 两 半数 据 通过 n 轮 处 理 
后 组 合成 密 文 分 组 ， 每 轮 的 输入 为 上 轮 的 输出 ; 同时 子 密 钥 也 是 由 密 钥 产生 。 典 型 分 组 长 
度 是 64 位 。 分 组 算法 包括 以 下 几 种 : 

o ”数据 加 密 标 淮 (DES, Data Encryption Standard) 


DES 是 第 一 个 得 到 广泛 应 用 的 密码 算法 ， 使 用 相同 的 密 钥 来 加 密 和 解密 。DES 是 一 种 分 
组 加 密 算法 ， 输 入 的 明文 为 64 位 ， 密 钥 为 56 位 ， 生 成 的 密 文 为 64 位 (把 数据 加 密 成 64 位 
的 block) 。 


o 所 重 数据 加 密 标准 (3DES， Triple DES) 
3DES 使 用 F128 位 密 钥 。 信 息 首先 使 用 56 位 的 密 钥 加 密 ， 然 后 用 另 一 个 56 位 的 密 钥 译 码 
， 最 后 再 用 原始 的 56 位 密 钥 加 密 ， 这 样 3DES 使 用 了 有 效 的 128 位 长 度 的 密 钥 。Triple DES 最 


大 的 优点 就 是 可 以 使 用 已 存在 的 软件 和 硬件 ， 并 且 在 DES 加 密 算法 上 的 技术 可 以 轻松 的 实 
施 Triple DES. 
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o 高 级 加 密 标 准 (AES, Advanced Encryption Standard) 

AES 采 用 128 位 的 分 组 长 度 ， 支 持 长 认为 128 位 、192 位 和 256 位 的 密 钥 长 度 ， 并 可 支持 
不 同 的 平台 。128 位 的 密 钥 长 度 能 够 提供 足够 的 安全 性 ， 而 且 比 更 长 的 密 钥 需 要 较 少 的 处 
理 时 间 。 到 目前 为 止 ，AES 还 没有 出 现任 何 致命 缺陷。AES 取 代 DES 和 3DES 以 增强 安全 性 和 
效率 已 是 大 势 所 趋 。 

o IDEA (International Data Encryption Algorithm) 
IDEA 是 对 称 分 组 密码 算法 ， 输 入 明文 为 64 位 ， 密 钥 为 128 位 ， 生 成 的 密 文 为 64 位 。 
o RC2, RC5, RC6 

RC2 是 Ron Rivest 为 RSA 公 司 设计 的 变 长 密 钥 加 密 算法 ， 它 是 一 种 block 模 式 的 密 文 ， 就 
是 把 信息 加 密 成 64 位 的 数据 。 因 为 它 可 以 使 用 不 同 长 度 的 密 钥 ， 它 的 密 钥 长 度 可 以 从 零 到 
无 限 大 ， 并 且 加 密 的 速度 依赖 于 密 钥 的 大 小 。 

RC5 是 由 RSA 公 司 的 Rivest 于 1994 年 设计 的 一 种 新 型 的 分 组 密码 算法 。RC5 类 似 于 RC2， 
ti block 2830, 但 是 这 种 算法 采用 不 同 的 block 大 小 和 密 钥 大 小 。 另 外 此 算法 中 数据 所 通 
过 的 round 也 是 不 同 的 。 一 般 建 议 使 用 128 位 密 钥 的 RC5 算 法 ， 并 运行 12 到 16 个 rounds。 它 
是 一 种 分 组 长 度 、 密 钥 长 度 和 迭代 轮 数 都 可 变 的 分 组 迭代 密码 算法 。 

RC6 不 像 其 它 一 些 较 新 的 加 密 算法 ，RC6 包 括 整 个 算法 的 家 族 。RC6 系 列 在 1998 年 被 提 
出 在 RC5 算 法 提出 来 后 ， 经 调查 发 现 其 在 对 特殊 的 round 上 加 密 时 存在 于 一 个 理论 上 的 漏洞 
。SRC6 的 设计 弥补 了 这 种 漏洞 。 

常用 的 分 组 对 称 加 密 算法 是 : DES, 3DES, AES. 
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非 对 称 加 密使 用 两 个 密 钥 : DAAMA, RA MSL SKA. 4 
钥 可 在 通信 双方 之 间 公 开 传递 ， 或 在 公用 储备 库 中 发 布 ， 但 相关 的 私 钥 是 保密 的 。 只 有 使 
用 私 钥 才 能 解密 用 公 钥 加 密 的 数据 ， 使 用 私 钥 加 密 的 数据 只 能 用 公 钥 解密 。 非 对 称 密 钥 算 
法 体系 包括 : 

o AX: 它 是 可 读 的 消息 或 者 数据 ， 用 作 算 法 的 输入 。 

o 加 密 算法 : 加 密 算法 对 明文 进行 各 种 形式 的 变换 。 

o 公 钥 和 私 钥 : 它们 是 被 选择 的 一 对 密 钥 ， 如 果 一 个 密 钥 用 于 加 密 ， 则 另 一 个 密 铀 

用 作 解 密 。 其 中 公 钥 是 公开 给 其 他 人 的 ， 私 钥 是 只 有 自己 知道 的 。 

o 密 文 : 它 是 输出 的 混乱 的 消息 ， 取 决 于 明文 和 密 钥 。 

o 解密 算法 : 该 算法 接受 密 文 和 匹配 的 密 钥 ， 生 成 原始 的 明文 。 

非 对 称 算法 加 解密 的 基本 步骤 如 下 : 
1， 每 个 用 户 都 生成 一 对 密 钥 。 
2， 每 个 用 彤 都 把 其 中 一 个 密 钥 放 在 一 个 公用 的 寄存 器 或 者 可 访问 的 文件 夹 里 ， 作 为 公 和 钠 

,/ 剩 下 一 个 自己 保存 为 私 钥 。 每 个 用 户 都 保存 着 别人 的 公 钥 。 
3， 如 图 ,如 果 甲 要 给 接收 者 发 送 消息 ， 则 发 送 者 在 自己 或 者 公共 的 公 钥 库 里 找 出 接收 者 
的 公 钥 PU， 用 之 来 将 消息 Xx 转换 为 密 文 Y， 这 个 过 程 表 示 为 Y=E[PU，X] 然 后 将 密 文 发 送 
给 接收 者 。 
， 接收 者 收 到 密 文 Y 后 ， 用 自己 的 私 钥 PR 来 将 接收 到 的 密 文 Y 解 密 为 明文 消息 X。 这 个 过 
程 表 示 为 X=DIPR，Y]， 私 钥 只 有 接收 者 拥有 ， 所 以 别人 不 能 将 密 文 解密 。 7 3750 


小 


对 称 与 非 对 称 算 法 对 比 
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。 对 称 密 钥 算法 


1、 对 称 密 钥 的 主要 优点 在 于 速度 快 ,并 通常 比 非 对 称 密 钥 快 100 倍 以 上 ， 而 且 可 以 方便 
地 通过 硬件 实现 。 


2、 主 要 问题 在 于 密 钥 的 管理 复杂 。 由 于 每 对 通信 者 间 都 需要 一 个 不 同 的 密 钥 ，N 个 人 
通信 需要 = n(n-1)/2 密 钥 ; 同时 如 何 安全 的 共享 秘密 密 钥 给 需要 解密 的 接受 者 成 为 最 大 的 问 
题 ; 并 且 由 于 没有 签名 机 制 因 此 也 不 能 实现 抗 可 抵赖 问题 ， 即 通信 双方 都 可 以 否认 发 送 或 
接收 过 的 信息 。 
© 非 对 称 密 钥 算 法 

1、 非 对 称 密 钥 的 主要 优势 在 于 密 钥 能 够 公开 ， 由 于 用 作 加 密 的 密 钥 (也 称 公开 密 钥 
) 不 同 于 用 作 解 密 的 密 钥 《也 称 私 人 密 钥 )， 因 而 解密 密 钥 不 能 根据 加 密 密 钥 推算 出 来 ， 所 
以 可 以 公开 加 密 密 钥 。 公 钥 加 密 提供 了 一 种 有 效 的 方法 ， 可 用 来 把 为 大 量 数据 执行 对 称 加 
密 时 使 用 的 机 密 密 钥 发 送 给 某 人 。 私 钥 加 密 而 用 公 钥 解密 ， 主 要 用 于 数字 签名 。 

2、 主 要 局 限 就 是 速度 。 实 际 上 ， 通 常 仅 在 关键 时 刻 才 使 用 公 钥 算法 ， 如 在 实体 之 间 
交换 对 称 密 钥 时 ”或 者 在 签署 一 封 邮 件 的 散 列 时 〈 散 列 是 通过 应 用 一 种 单 向 数学 函数 获得 
的 一 俱 定 长 结果 ， 对 于 数据 而 言 ， 叫 做 散 列 算法 ) o 

对 称 和 非 对称 密 钥 算法 通常 结合 使 用 ， 用 于 密 钥 加 密 和 数字 签名 ， 即 实现 安全 又 能 优 
化 性 能 。 


o 3760 
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。 密 钥 交换 : 结合 使 用 对 称 与 非 对 称 密 钥 


对 称 密 钥 算法 非常 适合 于 快速 并 安全 地 加 密 数据 。 但 缺点 是 ， 发 件 人 和 收 件 人 必须 在 
交换 数据 之 前 先 交 换 机 密 密 钥 。 结 合 使 用 加 密 数 据 的 对 称 密 钥 算法 与 交换 机 密 密 钥 的 公 钥 
算法 可 产生 一 种 既 快速 又 灵活 的 解决 方案 % 


。 基于 公 和 钥 的 密 钥 交 换 步 又 如 下 ; 

1、 发 件 人 获得 收 件 人 的 公 组 

2、 发 件 人 创建 一 个 随机 机 密 密 钥 〈 在 对 称 密 钥 加 密 中 使 用 的 单个 密 钥 ) ; 
、 发 件 人 使 用 机 密 密 钥 和 对 称 密 钥 算法 将 明文 数据 转换 为 暗 文 数据 ; 
4、 发 件 人 使 用 收 件 人 的 公 钥 将 机 密 密 钥 转换 为 暗 文 机 密 密 钥 
、 发 件 人 将 暗 文 数据 和 暗 文 机 密 密 钥 一 起 发 给 收 件 人 ; 
、 收 件 人 使 用 其 私 钥 将 暗 文 机 密 密 钥 转换 为 明文 ; 

7、 收 件 人 使 用 明文 机 密 密 钥 将 暗 文 数据 转换 为 明文 数据 
。 其 特点 在 于 

TSS 产 生 一 个 一 次 性 对 称 密 钥 一 会 话 密 钥 ; 

2、 用 会 话 密 钥 加 密 信息 ; 


x 最 后 用 接收 者 的 公 钥 加 密会 话 密 钥 一 因为 它 很 短 ， 加 解密 迅速 。 





Ww 





OO wu 
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数据 认证 -- 散 列 算法 


。 散 列 算法 : 把 任意 长 度 的 输入 变换 成 固定 长 度 的 输出 
o h=H(M) 

。 常 见 散 列 算法 X 
o MD5 
o SHA-1 
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。 散 列 算法 加 密 原 理 


在 通讯 的 过 程 中 ， 数 据 发 送 方 通常 对 传输 的 数据 进行 HAsH 计 算得 到 一 个 HAsH 值 ， 并 
对 该 HASH 值 进行 加 密 ， 并 将 其 与 数据 气 同 发 送出 去 ， 接 收 方 收 到 数据 后 对 数据 进行 HAsH 
计算 ， 并 比较 收 到 的 HASH 值 ， 如 果 相同 则 表示 数据 没有 损坏 或 被 自 改 。 


哈 希 加 密 是 通信 的 双方 通过 对 比 各 自 的 哈 希 值 ， 从 而 判断 信息 是 否 变更 的 方法 ， 这 可 
以 运用 在 信息 完整 性 的 验证 中 8s《 哈 希 加 密 的 另外 一 种 用 途 是 签名 文件 。 
。 信息 -摘要 算法 (MD5, Message-DigestAlgorithm5) 


MD5 是 由 MD2、MD3、NMD4 发 展 而 来 的 一 种 单 向 函数 算法 (也 就 是 HASH 算 法 ) ， 可 
产生 一 个 128 位 的 散 列 值 。 它 是 国际 著名 的 公 钥 加 密 算法 标准 RSA 的 第 一 设计 者 R.Rivest 于 
上 个 世纪 90 年 代 初 开发 出 来 的 。MD5 的 最 大 作用 在 于 ， 将 不 同 格式 的 大 容量 文件 信息 在 用 
数字 签名 软件 来 签署 私人 密 钥 前 “压缩 ”成 一 种 保密 的 格式 ， 关 键 之 处 在 于 这 种 “压缩 ” 
是 不 可 逆 的 。MD5 设 计 经 过 优化 以 用 于 Intel 处 理 器 。 这 种 算法 的 基本 原理 已 经 泄露 ， 这 就 
是 为 什么 它 不 太 受 欢迎 的 原因 。 

e SHA-1 


SHA 是 流行 的 用 于 创建 数字 签名 的 单 向 散 列 算法 。 与 DSA 公 铂 算 法 相似 ， 安 全 散 列 算 
法 1 (SNA7) 也 是 由 NSA 设 计 的 ， 并 由 NIST 将 其 收录 到 FIPs 中 ， 作 为 散 列 数据 的 标准 。 它 
可 以 将 任意 长 度 的 字符 串 计算 为 160 位 的 HASH 值 。SHA 在 结构 上 类 似 于 MD4 和 MD5。 尽 管 
它 比 MD5 的 速度 要 慢 25%， 但 它 更 加 安全 。 它 产生 的 信息 摘要 比 MD5 要 长 25%， 因 此 对 于 
攻击 来 说 是 更 安全 的 。 不 过 鉴于 SHA-1 的 漏洞 也 被 发 现 ， 于 2010 年 前 逐步 推广 更 安全 的 
SHA-224、SHA-256、SHA-384 和 SHA-512。 
D 3780 
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数字 签名 主要 的 功能 是 : 保证 信息 传输 的 完整 性 、 发 送 者 的 身份 认证 、 防 止 交易 中 的 
抵赖 发 生 。 基 于 公 钥 密码 体制 和 私 钥 密码 体制 都 可 以 获得 数字 签名 ， 目 前 主要 是 基于 公 钼 
密码 体制 的 数字 签名 ， 包 括 普 通 数字 签名 和 特殊 数字 签名 。 普 通 数字 签名 算法 有 RSA、 


ElGamal 








< Fiat-Shamir, Guillou-Quisquarter, Schnorr, Ong-Schnorr-Shamir2x FSZ AA 


Des/DSA， 椭 圆 曲 线 数 字 签名 算法 和 有 限 自 动机 数字 签名 算法 等 。 特 殊 数字 签名 有 盲 签名 
、 代 理 签名 、 群 签名 、 不 可 否认 签名 、 公平 盲 签名、 门限 签名 、 具 有 消息 恢复 功能 的 签名 
等 。 数 字 签 名 技术 是 公 钥 密码 体制 的 典型 应 用 。 数 字 签 名 的 应 用 过 程 是 ， 数 据 源 发 送 方 使 
用 自己 的 私 钥 对 数据 校 验 和 或 其 他 与 数据 内 容 有 关 的 变量 进行 加 密 处 理 ， 完 成 对 数据 的 合 
法 “签名 ”， 数 据 接收 方 则 利用 对 方 的 公 钥 来 解读 收 到 的 “数字 签名 ”， 并 将 解读 结果 用 


于 对 数 























居 完 整 性 的 检验 ， 以 确认 签名 的 合法 性 。 数 字 签 名 技术 是 在 网 络 系统 虚拟 环境 中 确 


认 身 份 的 重要 技术 入 完全 可 以 代替 现实 过 程 中 的 “亲笔 签字 ” ， 在 技术 和 法 律 上 有 保证 。 
在 数字 签名 应 用 中 ， 发 送 者 的 公 钥 可 以 很 方便 地 得 到 ， 但 他 的 私 钥 则 需要 严格 保密 。 数 字 
签名 可 用 作 数 据 完 整 性 检查 并 提供 拥有 私 钥 的 凭据 ， 签 署 和 验证 数据 的 步骤 如 下 : 


1. 发 送 者 将 一 种 散 列 算法 应 用 于 数据 ， 并 生成 一 个 散 列 值 ; 
2. 发 送 者 使 用 私 钥 将 散 列 值 转换 为 数字 签名 ; 


34 发 送 者 将 数据 、 签 名 发 给 接收 者 ; 


4. 接 














收 者 使 用 发 送 者 的 公 钥 对 数字 前 面 进行 解密 ; 








5, 发 送 者 将 该 散 列 算法 应 用 于 接收 到 的 数据 ， 并 生成 一 个 散 列 值 ; 
6. 比较 发 送 者 发 送 的 散 列 值 与 新 生成 的 散 列 值 是 否 相同 。 


7. 散 





列 值 相同 则 表示 该 消息 来 自 与 发 送 者 ， 并 且 消 息 未 被 自 改 。 = eet 


身份 认证 -- 数 字 证 书 
公 钥 的 载体 
数字 证 书 的 格式 X.509 e 
由 受信 任 的 机 构 颁 发 公开 密 钥 : 9f 0a 34... 
数字 证 书 的 存储 有 效 期 :5/5/2008-5/5/2009 
字 证 书 的 存 人 


序列 号 : 123465 
颁发 者 : 根 CA 
签名 : CA BEG 

证 书 路 径 : 信任 链 
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数字 证 书 由 三 部 分 组 成 : 主体 部 分 、 算 法 部 分 和 签名 部 分 。 其 中 主体 部 分 包括 : 


证 书 格 式 版 本 (version) : 版 本 号 指明 X.509 证 书 的 格式 版 本 ， 现 在 的 值 可 以 为 v1 (0) 
, v2 (1) , v3 (2) 。 


证 书 序 列 号 (Serial Number) : 序列 号 指定 由 CA 分 配给 证 书 的 唯一 的 数字 型 标识 符 。 
当 证 书 被 取消 时 ， 实 际 上 是 将 此 证 书 的 序列 号 放 入 由 CA 签发 的 CRL 中 ， 这 也 是 序列 号 唯 
一 的 原因 。 

签名 算法 标识 (Signature). : ,签名 算法 标识 用 来 指定 由 CA 签发 证 书 时 所 使 用 的 签名 算 
法 。 算 法 标识 符 用 来 指定 CA 签发 证 书 时 所 使 用 的 公开 密 钥 算法 和 Hash 算 法 ， 须 向 国际 
知名 标准 组 织 (如 ISO) 注册 。 

签发 CA 名 称 (Issuer) :》 此 域 用 来 标识 签发 证 书 的 CA 的 X.509DN 名 字 。 包 括 国 家 、 省 市 
、 地 区 、 组 织 机 构 、 单 位 部 门 和 通用 名 。 

证 书 有 效 期 Validity) : 指定 证 书 的 有 效 期 ， 包 括 证 书 开 始 生 效 的 日 期 和 时 间 以 及 失 
效 的 日 期 和 时 间 。 每 次 使 用 证 书 时 ， 需 要 检查 证 书 是 否 在 有 效 期 内 。 

证 书 持 有 者 名 称 (Subject) : 指定 证 书 持 有 者 的 X.509 唯 一 名 字 。 包 括 国 家 、 省 市 、 地 
区 、 组 织 机 构 、 单 位 部 门 和 通用 名 ， 还 可 包含 email 地 址 等 个 人 信息 等 

证 书 公 钥 (Subject Public Key Info) : 证 书 持 有 者 公开 密 钥 信息 域 包含 两 个 重要 信息 : 
证 书 持 有 者 的 公开 密 钥 的 值 ; 公开 密 钥 使 用 的 算法 标识 符 。 此 标识 符 包 含 公 开 密 钥 算法 
和 hash 算 法 。 











380 [] 


身份 认证 -- 数 字 证 书 
。 公 铀 的 载体 

。 数 字 证 书 的 格式 X.509 
。 由 受信 任 的 机 构 颁 发 
。 数 字 证 书 的 存储 





持 有 者 : XXX 
公开 密 钥 : 9f Oa 34... 
有 效 期 : 5/5/2008-5/5/2009 
序列 号 : 123465 
颁发 者 : 根 CA 
签名 : CA IE EH 
证 书 路 径 : (AEE 
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。 证 书 废除 列表 证 书 黑 名 单 (CRL， Certificate Revocation Lists) : 为 应 用 程序 和 其 它 系统 
提供 了 一 种 检验 证 书 有 效 性 的 方式 。 任 何 兰 个 证 书 废 除 以 后 ， 证 书 机构 CA 会 通过 发 布 
CRL 的 方式 来 通知 各 个 相关 方 。 

数字 证 书 作 为 一 种 电子 数据 格式 ， 可 以 直接 从 网 上 下 载 ， 也 可 以 通过 其 他 方式 。 使 用 

IC 卡 存放 用 户 证 书 ， 即 把 用 户 的 数字 证 书写 到 IC 卡 中 ， 供 用 户 随身 携带 。 这 样 用 户 在 所 有 

能 够 读 IC 卡 证 书 的 电子 商务 终端 上 都 可 以 享受 安全 电子 商务 服务 。 用 户 证书 直 接 存放 在 磁 

盘 或 自己 的 终端 上 。 户 将 从 CA 申请 来 的 证 书 下 载 或 复制 到 磁盘 或 自己 的 PC 机 或 智能 终端 上 

， 当 用 户 使 用 自己 的 终端 享受 电子 商务 服务 了 时， 直接 从 终端 读 入 即 可 。 


QO 3810 


密 钥 管理 技术 


。 密 钥 产生 
。 分 配 保存 
。 更 换 与 销毁 X 
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密 钥 管理 是 数据 加 密 技术 中 的 重要 一 环 ， 密 钥 管 理 的 目的 是 确保 密 钥 的 安全 性 (AR 
性 和 有 效 性 ) 。 为 了 数据 使 用 的 方便 ， 数 据 加 密 在 许多 场合 集中 表现 为 密 钥 的 应 用 ， 以 达 
到 保密 的 要 求 ， 因 此 密 钥 往 往 是 保密 与 窃 密 的 主要 对 象 。 密 钥 的 管理 技术 包括 密 钥 的 产生 
、 分 配 保存 、 更 换 与 销毁 等 各 环节 上 的 保密 措施 。 


。 密 钥 产生 


层次 化 的 密 钥 管理 方式 , 铀 于 数据 加 密 的 工作 密 钥 需要 动态 产生 ; 工作 密 钥 由 上 层 的 
加 密 密 钥 进行 保护 ， 最 上 层 的 密 钥 称 为 主 密 钥 ， 是 整个 密 钥 管 理 系 统 的 核心 ; 多 层 密 钥 体 
制 大 大 加 强 了 密码 系统 的 可 靠 性 ， 因 为 用 得 最 多 的 工作 密 钥 常常 更 换 ， 而 高 层 密 钥 用 的 较 
少 ， 使 得 破译 者 的 难度 增 大 和 


。 分 配 保存 


密 钥 的 分 配 是 指 产生 并 使 使 用 者 获得 一 个 密 钥 的 过 程 ; 密 钥 的 传递 分 集中 传送 和 分 散 
传送 两 类 。 集 中 传送 是 指 将 密 钥 整体 传送 ， 这 时 需要 使 用 主 密 钥 来 保护 会 话 密 钥 的 传递 ， 
并 通过 安全 渠道 传递 主 密 钥 。 分 散 传送 是 指 将 密 钥 分 解 成 多 个 部 分 ， 用 秘密 分 享 的 方法 传 
递 ， 只 要 有 部 分 到 达 就 可 以 恢复 ， 这 种 方法 适用 于 在 不 安全 的 信道 中 传输 。 

。 更 换 销毁 

密 钥 既 可 以 作为 一 个 整体 保存 ， 也 可 以 分 散 保存 。 整 体 保存 的 方法 有 人 工 记 忆 、 外 部 
记忆 装置 、 密 钥 恢 复 、 系 统 内 部 保存 ; 分 散 保存 的 目的 是 尽量 降低 由 于 某 个 保管 人 或 保管 
装置 的 问题 而 导致 密 钥 的 泄漏 。 密 钥 的 备份 可 以 采用 和 密 钥 的 分 散 保存 一 样 的 方式 ， 以 免 
知道 密 钥 的 人 太 多 ; 密 钥 的 销毁 要 有 管理 和 仲裁 机 制 ， 否 则 密 钥 会 被 有 意 无 意 的 丢失 ， 从 
而 造成 对 使 用 行为 的 否认 。 
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密 钥 管理 系统 


。 一 个 完整 的 密 钥 管理 系统 应 该 做 到 |: 

密 钥 难 以 被 窃取 和 复制 

即使 窃取 了 密 钥 也 没有 用 ， 密 钼 有 使 用 范围 和 时 间 的 限制 《SG 
密 铀 的 分 配 和 更 换 过 程 对 用 户 透明 ， 用 户 不 一 定 要 亲自 掌管 洲 负 
核心 密 钥 一 定 要 采用 分 割 分 责 的 方式 保存 


口 


口 


口 


Copyright © 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 22 w HUAWEI 





。 一 个 密 钥 管理 系统 应 当 基 于 共同 的 标准 、 程 序 和 安全 方法 的 集合 ， 它 们 用 于 : 


口 


口 


为 不 同 的 密码 系统 和 不 同 的 应 用 软件 生成 密 钥 。 

生成 和 获取 公共 密 钥 证 明 。 

把 密 钥 分 发 给 需要 的 用 户 j 二 包括 接 到 密 钥 时 应 当 怎样 将 其 激活 。 

存储 密 钥 ， 包 括 经 授权 的 用 记 怎 样 得 到 密 钥 。 

更 改 或 者 更 新 密 钥 $C 包 括 关 于 何 时 应 该 改变 密 钥 和 怎样 改变 的 一 些 规 则 。 
STB SS TAY SAA 


激活 密 钥 , /包括 应 当 怎样 将 密 钥 撤 出 或 者 使 其 失效 ， 例 如 密 钥 在 何 时 被 损害 或 者 
用 户 在 何 时 离开 了 组 织 (在 此 种 情况 下 密 钥 也 应 当 被 存档 ) o 


作为 业务 连续 性 管理 的 一 部 分 ， 恢 复 丢 失 的 或 者 毁坏 的 密 钥 。 例 如 加 密 信息 的 恢 
复 。 


存档 密 钥 ， 例 如 用 于 信息 存档 或 者 备份 。 
销毁 密 钥 。 
密 钥 管理 相关 活动 的 记录 和 查验 。 
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密 钥 管 理 策略 


。 一 个 完整 的 密 钥 管理 策略 应 该 做 到 : 
o 密码 策略 控制 是 否 允 许 用 户 重新 使 用 旧 的 密码 (强制 密码 历史 
) ， 在 两 次 更 改 密码 之 间 的 时 间 (RABBE OURRAD 
命 ) ， 最 小 密码 长 度 以 及 用 户 是 否 必须 混合 使 用 大 小 写字 母 S 数 
字 和 特殊 字符 (密码 必须 满足 复杂 性 要 求 ) 。 
= 帐户 锁定 策略 确定 了 在 特定 时 间 段 内 锁定 帐户 之 前 六 索 统 能 够 接 
受 多 少 次 失败 的 登录 尝试 


o 法 律 要 求 和 服务 合同 
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为 了 减少 损害 的 可 能 性 ， 密 钥 应 当 有 确定 的 激活 和 休止 日 期 ， 从 而 它们 只 能 在 有 限 的 


时 间 段 内 使 用 。 该 时 间 段 的 长 度 应 当 取 决 于 运用 密码 管理 措施 的 环境 和 所 发 现 的 风险 。 为 
了 处 理 访问 密码 关键 字 的 法 律 要 求 ， 需 要 考虑 一 些 程序 。 例 如 ， 可 能 需要 用 加 密 信息 的 解 
密 形式 做 法 庭 上 的 证 据 。 服 务 等 级 管理 的 内 容 或 者 与 外 部 密码 服务 供应 商 所 签订 合同 的 内 
容 ， 例 如 与 一 个 权威 验证 机 构 所 签 侣 同 ， 应 当 包括 有 关 责 任 、 服 务 的 可 靠 性 和 提供 服务 的 
响应 时 间 等 议题 。 人 参考 经 济 合作 与 发 展 组 织 (OECD, Organization for Economic Cooperation 
and Development) 的 密码 政策 : 


口 


口 


口 


为 增强 使 用 信息 和 通讯 系统 的 信心 ， 密 码 方法 应 当 是 可 信赖 的 ; 

在 法 律 许可 范围 内 ， 用 户 可 以 自由 选择 密码 方法 ; 

密码 方法 的 开发 位 适应 个 人 、 公 司 、 政 府 的 不 同 需 求 ; 

密码 方法 的 标 淮 、 准 则 、 协 议 的 开发 和 颁布 应 在 国家 或 国际 范围 内 进行 ; 

个 人 的 基本 隐私 权 ， 如 通信 秘密 、 个 人 数据 保护 ， 应 在 国家 的 密码 政策 及 密码 技术 的 实 
现 和 使 用 申 得 到 尊重 ; 

国家 的 密码 政策 应 允许 依法 存 取 加 密 数 据 的 明文 或 密 钥 ， 但 这 个 政策 应 最 大 程度 上 不 妨 
碍 本 指导 原则 中 其 它 原则 ; 

无 论 是 采取 立法 或 合约 的 形式 ， 应 明确 提供 密码 服务 或 持 有 、 存 取 密 钥 的 个 人 或 团体 的 
责任 ; 

政府 在 密码 政策 的 制定 中 应 协调 各 方面 的 关系 ， 避 免 以 密码 政策 的 名 义 妨 碍 正常 贸易 或 
滥用 法 律 。 
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按 业 务 用 途 划分 (1) 

e Access VPN 
企业 的 内 部 人 员 移 动 或 远程 办 公 需 要 ， 或 者 商家 要 提供 B2C 的 安全 访问 服 
ai VPN 管 理 系统 K 
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按照 业务 用 途 类 型 ， 可 以 将 VPN 划 分 为 远程 访问 虚拟 网 (Access VPN) 、 企 业内 部 虚 
拟 网 (Intranet VPN) 和 企业 扩展 虚拟 网 和 (Extranet VPN) ， 这 三 种 类 型 的 VPN 分 别 与 传统 
的 远程 访问 网 络 、 企 业内 部 的 Intranet 以 及 企业 网 和 相关 合作 伙伴 的 企业 网 所 构成 的 
Extranet 相 对 应 。 

e Access VPN 

如 果 企 业 的 内 部 人 员 移 动 或 有 远程 办 公 需 要 ， 或 者 商家 要 提供 B2C 的 安全 访问 服务 ， 
就 可 以 考虑 使 用 Access VPNe 

Access VPN 通 过 一 个 拥有 与 专用 网 络 相 同 策略 的 共享 基础 设施 ， 提 供 对 企业 内 部 网 或 
外 部 网 的 远程 访问 。sAccessVPN 能 使 用 户 随时 、 随 地 以 其 所 需 的 方式 访问 企业 资源 。 
Access VPN 包 括 模拟 、 拨 号 、ISDN、 数 字 用 户 线路 (xDSL) 、 移 动 |P 和 电缆 技术 ， 能 够 安 
全 地 连接 移动 用 户 、 远 程 工 作者 或 分 支 机 构 。 

Access VPN 最 适用 于 公司 内 部 经 常 有 流动 人 员 远程 办 公 的 情况 。 出 差 员工 利用 当地 ISP 
提供 的 VPN 服 务 ， 就 可 以 和 公司 的 VPN 网 关 建 立 私 有 的 隧道 连接 。 


按 业 务 用 途 划分 (2) 


e Intranet VPN 
企业 内 部 各 分 支 机构 的 互联 。 


大 中 型 分 支 机 构 
网 关 到 网 关 和 ~ 


中 小 型 分 支 机构 
网 关 到 网 天 


ii 
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e Intranet VPN 
如 果 要 进行 企业 内 部 各 分 支 机 构 的 互联 ， 使 用 Intranet VPN 是 很 好 的 方式 。 


越 来 越 多 的 企业 需要 在 全 国 乃 至 世界 范围 内 建立 各 种 办 事 机 构 、 分 公司 、 研 究 所 等 ， 
各 个 分 公司 之 间 传 统 的 网 络 连接 方式 一 般 是 租用 专线 。 显 然 ， 在 分 公司 增多 、 业 务 开展 越 
来 越 广 泛 时 ， 网 络 结构 趋 于 复杂 ,费用 昂贵 。 利 用 VPN 特 性 可 以 在 Internet 上 组 建 世 界 范围 
内 的 Intranet VPN。 利 用 Internet 的 线路 保证 网 络 的 互联 性 ， 而 利用 隧道 、 加 密 等 VPN 特 性 
可 以 保证 信息 在 整个 IntranetyVPN 土 安全 传输 。Intranet VPN 通 过 一 个 使 用 专用 连接 的 共享 
基础 设施 ， 连 接 企业 总 部 Y 远程 办 事 处 和 分 支 机 构 。 企 业 拥有 与 专用 网 络 的 相同 政策 ， 包 
括 安 全 、 服 务 质量 (QoS) STEREM EIE. 
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按 业 务 用 途 划 分 (3) 


e Extranet VPN 


提供 B2B (Business to Business) 之 间 的 安全 访问 服务 。 


Te 





Copyright © 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 27 w HUAWEI 








e Extranet VPN 


如 果 是 提供 B2B (Business to Business) 之 间 的 安全 访问 服务 ， 则 可 以 考虑 Extranet 
VPN。 


随 着 信息 | 上 来， 各 个 企业 越 来 越 重 视 各 种 信息 的 处 理 。 希 望 可 以 提供 给 客户 最 
快捷 方便 的 信息 服务 ， 通 过 各 种 方式 了 解 客 户 的 需要 ， 同 时 各 个 企业 之 间 的 合作 关系 也 越 
来 越 多 ， eae Internet 为 这 样 的 一 种 发 展 趋势 提供 了 良好 的 基础 ， 而 如 何 利 
用 Internet 进 行 有 效 的 信息 管理 ， 是 企业 发 展 中 不 可 避免 的 一 个 关键 问题 。 利 用 VPN 技 术 可 
以 组 建安 全 的 Extranet, 县 可 以 向 客户 、 合 作 伙伴 提供 有 效 的 信息 服务 ， 又 可 以 保证 自身 
的 内 部 网 络 的 安全 。 


Extranet VPN 通 过 一 站 使 用 专用 连接 的 共享 基础 设施 ， 将 客户 、 供 应 商 、 合 作 伙 伴 或 
兴趣 群体 连接 到 企业 内 部 网 。 企 业 拥有 与 专用 网 络 的 相同 政策 ， 包 括 安全 、 服 务 质量 ( 
QoS) 、 可 管理 性 和 可 靠 性 。 

Extranet VPN 对 用 户 的 吸引 力 在 于 : 能 容易 地 对 外 部 网 进行 部 署 和 管理 ， 外 部 网 的 连 
接 可 以 使 用 与 部 署 内 部 网 和 远 端 访问 VPN 相 同 的 架构 和 协议 进行 部 署 。 主 要 的 不 同 是 接 入 
许可 ,、 外 部 网 的 用 户 只 有 在 被 许可 时 才 有 机 会 接 入 企业 内 网 ， 访 问 特定 的 资源 。 








L2VvPN: AD CO LS 
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e L3VPN 


三 层 VPN 主 要 是 指 VPN 技 术 工 作 在 协议 栈 的 网 络 层 。 以 IPsec VPN 技 术 为 例 ，IPSec 报 头 
与 |P 报 头 工作 在 同一 层次 ， 封 装 报 文 时 或 者 是 以 IPinIP 的 方式 进行 封装 ， 或 者 是 IPsec 报头 与 
IP 报 头 同 时 对 数据 载荷 进行 封装 。 

除 IPsec VPN 技 术 外 ， 主 要 的 三 层 VYPN 技 术 还 有 GRE VPN. GRE VPN 产 生 的 时 间 比 较 早 
， 实 现 的 机 制 也 比较 简单 。GRE VPN 可 以 实现 任意 一 种 网 络 协议 在 另 一 种 网 络 协议 上 的 封 
装 。 与 IPSec 相 比 ， 安 全 性 没有 得 到 保证 ， 只 能 提供 有 限 的 简单 的 安全 机 制 。 
e L2VPN 


5=RVPN2AR (LY, SR VPNI EVNA RI EENAA GEA, BAE E 
层 。 二 层 VPN 主 要 包括 的 协议 有 点 到 点 隧道 协议 (PPTP, Point-to-Point Tunneling Protocol 
) 、 二 层 转 发 协议 (L2F, Layer 2 Forwarding) 以 及 二 层 隧 道 协议 (L2TP, Layer 2 Tunneling 
Protocol) 。 
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VPDN 概 述 


WEP 。 宫 户 的 ppp 直接 连接 到 企业 的 网 关上 ， 目 前 可 使 用 的 
/协议 有 L2F 与 L2TP 
| 


。 客户 机 先 建 立 与 Internet 的 连接 ， 再 通过 专用 的 客户 软 
HET) 件 (如 Win2000 支 持 的 L2TP 客 户 端 与 网 关 建立 毅 首 
d 连接 。 





e VPDN (Virtual Private Dial Network) 是 指 利用 公共 网 络 〈 如 lsSDN 和 PSTN) 
的 拨号 功能 及 接 入 网 来 实现 虚拟 专用 网 ， 从 而 为 企业 、 小 型 ISP、 移 动 办 公 
人 员 提 供 接 入 服务 。 

。 VPDN 隧 道 协议 可 分 为 PPTP、L2F 和 L2TP 三 种 ， 目 前 使 用 最 广泛 的 是 L2TP 
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VPDN (Virtual Private Dial Network) .是 指 利用 公共 网 络 (如 ISDN 和 PSTN) 的 拨号 功 
能 及 接 入 网 来 实现 虚拟 专用 网 ， 从 而 为 企业 、 串 \ 型 ISP、 移 动 办 公 人 员 提 供 接 入 服务 。 


VPDN 采 用 专用 的 网 络 通信 协议 ， 在 公共 网 络 上 为 企业 建立 有 一 定安 全 性 的 虚拟 专 网 
。 企 业 驻 外 机 构 和 出 差 人 员 可 从 远程 经 由 公共 网 络 ， 通 过 虚拟 隧道 实现 和 企业 总 部 之 间 的 
网 络 连接 ， 而 公共 网 络 上 其 它 用 户 则 无 法 穿 过 虚拟 隧道 访问 企业 网 内 部 的 资源 。 


VPDN 有 下 列 两 种 实现 方式 : 


1. 客户 端 通过 NAS 与 VPDN 网 关 建 立 隧道 的 方式 。 这 种 方式 将 客户 的 PPP 连 接 直 接连 到 企业 
的 网 关上 ， 目 前 可 使 用 的 协议 有 L2F 与 L2TP 等 。 其 好 处 在 于 : 对 用 户 是 透明 的 ， 用 户 只 
需要 登录 一 次 就 可 以 接 入 企业 网 络 ， 由 企业 网 进行 用 户 认证 和 地 址 分 配 ， 而 不 占用 公 
共 地 址 ， 用 户 可 使 用 各 种 平台 上 网 。 这 种 方式 需要 NAS 支持 VPDN 协议 ， 需 要 认证 系统 
支持 VPDN 属性 ， 网 关 一 般 使 用 防火 墙 或 VPN 专用 服务 器 。 


2. 客户 端 与 VPBN 网 关 直 接 建立 隧道 的 方式 。 这 种 方式 由 客户 机 先 建立 与 Internet 的 连接 ， 
再 通过 专用 的 客户 软件 〈( 如 Windows 系 统 支持 的 L2TP 客 户 端 ) 与 网 关 建 立 通道 连接 。 其 
好 处 在 于 : 用 户 上 网 的 方式 和 地 点 没有 限制 ， 不 需 ISP 介 入 。 缺 点 是 : 用 户 需要 安装 专 
用 的 软件 六 受用 户 使 用 平台 的 限制 ， 而 且 VPN 维 护 难 度 较 大 。 
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L2TP 概 述 


e L2TP (Layer Two Tunneling Protocol) 二 层 隧道 协议 


o 为 在 用 户 和 企业 的 服务 器 之 间 透 明 传输 PPP 报 文 而 设置 的 隧道 协议 。 提 
供 了 对 PPP 链 路 层 数 据 包 的 通道 (Tunnel) 传输 支持 。 
o 结合 了 L2F 协议 和 PPTP 协议 的 各 自 优 点 ， 成 为 IETF 有 关 二 层 隧道 协议 的 
工业 标准 。 
。 主要 用 途 


o 企业 驻 外 机 构 和 出 差 人 员 可 从 远程 经 由 公共 网 络 ， 通 过 虚拟 隧道 实现 和 
企业 总 部 之 间 的 网 络 连 接 
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L2TP (Layer 2 Tunnel Protocol) 称 为 二 层 隧 道 协 议 ， 是 为 在 用 户 和 企业 的 服务 器 之 间 
透明 传输 PPP 报 文 而 设置 的 隧道 协议 。PPR 协 议定 义 了 一 种 封装 技术 ， 可 以 在 二 层 的 点 到 点 
链 路 上 传输 多 种 协议 数据 包 ， 这 时 用 户 与 NAS 之 间 运 行 PPP 协 议 ， 二 层 链 路 端点 与 PPP 会 话 
点 驻 留 在 相同 硬件 设备 上 。L2TP 协 议 提供 了 对 PPP 链 路 层 数 据 包 的 通道 (Tunnel) 传输 支 
持 ， 人 允许 二 层 链 路 端点 和 PPP 会 话 点 驻 留 在 不 同 设备 上 并 且 采 用 包 交 换 网 络 技 术 进 行 信息 
交互 ， 从 而 扩展 了 PPP 模 型 。 从 某 个 角度 来 讲 ，L2TP 实 际 上 是 一 种 PPPolP 的 应 用 ， 就 像 
PPPOE、PPPOA、PPPoFR 一 样 , 性 是 一 些 网 络 应 用 想 利 用 PPP 的 一 些 特性 ， 弥 补 本 网 络 自身 
的 不 足 。 另 外 ，L2TP 协 议 还 结合 了 L2F 协 议和 PPTP 协 议 的 各 自 优 点 ， 成 为 IETF 有 关 二 层 隧道 
协议 的 工业 标准 。 
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L2TP VPN 协 议 组 件 


LAC: L2TP Access Concentrator，L2TP 接 入 集中 器 
LNS: L2TP Network Server ，L2TP 网 络 服务 器 


et ete etl 


控制 
LAC nos \ 










LNS RADIUS 
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在 L2TP 构 建 的 VPDN 中 ， 协 议 组 件 包 括 以 下 三 全部 分 : 

远 端 系统 是 要 接 入 VPDN 网 络 的 远 地 用 户 和 远 地 分 支 机 构 ， 通 常 是 一 个 拨号 用 户 的 主机 
或 私有 网 络 的 一 台 路 由 设备 
e LAC 

LAC 是 附属 在 交换 网 络 上 的 县 有 PPP 端 系统 和 L2TP 协 议 处 理 能 力 的 设备 ， 通 常 是 一 个 当 
地 ISP 的 NAS， 主 要 用 于 为 PPP 类 型 的 用 户 提供 接 入 服务 。 

LAC 位 于 LNS 和 远 端 系 统 之 间 ， 用 于 在 LNS 和 远 端 系统 之 间 传 递 信息 包 。 它 把 从 远 端 系 
统 收 到 day \ 包 按照 [2TP 协 议 进行 封装 并 送 往 LNS， 同时 也 将 从 LNS 收 到 的 信息 包 进 行 解 者 
装 并 送 往 远 端 系统 。[CAC 与 远 端 系统 之 间 采 用 本 地 连接 或 PPP 链 路 ，VPDN 应 用 中 通常 为 PPP 
链 路 。 

e LNS 


LNS 既 是 PPP 端 系统 ， 又 是 L2TP 协 议 的 服务 器 端 ， 通 常 作为 一 个 企业 内 部 网 的 边缘 设备 


ENS 作 为 L2TP 隧 道 的 另 一 侧 端点 ， 是 LAC 的 对 端 设备 ， 是 LAC 进 行 隧道 传输 的 PPP 会 
的 逻辑 终止 端点 。 通 过 在 公 网 中 建立 L2TP 隧 道 ， 将 远 端 系统 的 PPP a 
LAC 在 逻辑 上 延伸 到 了 企业 网 内 部 的 LNS。 


L2TP 中 存在 两 种 消息 : 控制 消息 和 数据 消息 。 控 制 消息 用 于 隧道 和 会 话 连接 的 建立 、 
维护 及 删除 ; 数据 消息 则 用 于 封装 PPP 帧 并 在 隧道 上 传输 。 
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L2TP 会 话 建立 过 程 


LAC LNS 
PC LAC RADIUS Server FNS RADIUS Server 
e 
“9 SE J 图 J 


; 1.Call Setup 


< > : i : 
; 2.PPP LCP Setup | | 
< > H i i 


: 3.PAP or CHAP 
: Authentication 








$ 4.Access Request 
' 5.Access Accept 
—_—_—_—X—X—X—X—XnNn__l_i 
<£ Tunnel establishment: 


17. PAP or CHAP 
_Authentiationchallenge/tesponse) 


LSTunnel establishment : 
; 9.User PAP or CHAP : 
*Authentication(challengé/response) lO.Access Request 
b> 1+.Access Accept 





>; 


> 





+! 











12.CHAP Authentication twicechallengerresponse) 





SP! 13.Access Request 


H 14.Access Accept 
ig 15. Authentication passes! y 
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L2TP 会 话 建立 过 程 : 


1. 
. PC 机 和 LAC 端 进行 PPP LCP 协 商 。 

. LAC 对 PC 机 提供 的 用 户 信 息 进行 PAP 或 GHAP 认 证 。 

. LAC 将 认证 信息 (用户 名 、 密 码 呈 发 送 给 RADIUS 服务 器 进行 认证 。 
.RADIUS 服务 器 认证 该 用 户 每 如 果 记 证 通过 则 返回 该 用 户 对 应 的 LNS 地 址 等 相关 信息 ， 并 


mn A W N 


用 户 端 PC 机 发 起 呼叫 连接 请 求 。 


且 LAC 准 备 发 起 Tunnel 连 接 请 求 @ 


. LAC 端 向 指定 LNS 发 起 Turifiel 连 接 请 求 。 
. LAC 端 向 指定 LNS 发 送 CHAP challenge 信息 ，LNS 回 送 该 challenge 响 应 消息 CHAPresponse 


， 并 发 送 LNS 侧 的 CHAP challenge，LAC 返 回 该 challenge 的 响应 消息 CHAPresponse。 需 
要 注意 : 本 阶段 验证 是 对 设备 进行 验证 ， 不 是 对 用 户 身份 的 认证 。 





. 隧道 验证 通过 淮 开 始 创建 L2TP 隧 道 。 


9. 采用 代理 验证 方式 时 ，LAC 端 将 用 户 CHAP response, response identifier 和 PPP 协 商 参数 


传送 给 EN5。 


10. LNS 将 接 入 请 求 信息 发 送 给 RADIUS 服 务 器 进 行 认证 。 
11. RABIUS 服 务 器 认证 该 请 求 信息 ， 如 果 认 证 通过 则 返回 响应 信息 。 
12. 若 用 户 在 LNS 侧 配置 强制 本 端 CHAP 认 证 ， 则 LNS 对 用 户 进 行 认证 ， 发 送 CHAP challenge 


0 


， 用 户 侧 回应 CHAP response。 
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L2TP 会 话 建立 过 程 


LAC LNS 
PC Lac RADIUS Server ENS RADIUS Server 
e 
“g SE 3 8 J 


1.Call Setup 


« * 
; 2.PPP LCP Setup | ! i 7 
‘+ > H i 


: 3.PAP or CHAP 
: Authentication 








: 4.Access Request 
| 5.Access Accept 


W 
' 6 Tunnel establishment : 











2 PAP or CHAP 
| Authentication(challenge/response) R 
i 8Tunnel establishment i å 


“9 User PAP or CHAP | 
*Authentication(challengé/response) =; _10. Access Request 
b. 1Y.Access Accept 








: 12.CHAP Authentication twice(challenge/response) : 
: : œ> 13.Access Request 


14.Access Accept 











15. Authentication passes! 
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息 发 送 给 RADIUS 服务 器 进行 认证 。 
14. RADIUS 服务 器 认证 该 请 求 信 息 ， 如 果 认 证 通过 则 返回 响应 信息 。 
15. 验 证 通过 ，L2TP 成 功 建立 。 
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Client-lnitialized 方 式 LZTP VPN 







L2TP TUNNEL 


Internet xX 


€p 
tS max 5 


A L2TP TUNNEL ' 总 部 服务 器 
。 VPN 用 户 相当 于 货车 ，LNS 相 当 于 检查 站 
。 LNS: 你 可 以 通行 了 
。 VPN 用 户 : 好 的 ， 我 自己 把 货物 送 过 去 
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LAC 表 示 L2TP 访 问 集 中 器 (LZTP Access Concentrator) ， 是 附属 在 交换 网 络 上 的 具有 
PPP 端 系统 和 L2TP 协 议 处 理 能 力 的 设备 。ALAC 王 般 是 一 个 网 络 接 入 服务 器 NAS， 主 要 用 于 通 
过 PSTN/ISDN 网 络 为 用 户 提 供 接 入 服务 。LNS 表 示 L2TP 网 络 服务 器 (L2TP Network Server) 
， 是 PPP 端 系 统 上 用 于 处 理 L2TP 协 议 服 务 器 端 部 分 的 设备 。 


LAC 客 户 端 可 直接 向 LNS 发 起 隧道 连接 请 求 ， 无 需 再 经 过 一 个 单独 的 LAC 设 备 。LAC 客 
户 端 地 址 的 分 配 由 LNS 来 完成 。 
。 远程 拨号 用 户 发 起 

用 户 通过 PSTN/ISDN 接 人 ISP， 获 得 访问 Internet 权 限 然 后 直接 向 远 端 LNS 服 务 器 发 起 


L2TP 连 接 。 此 时 客户 可 直接 向 LNS 发 起 通道 连接 请 求 ， 无 需 再 经 过 一 个 单独 的 LAC 设 备 。 
LAC 客 户 地 址 的 分 配 由 LNS 来 完成 。 


这 种 方式 的 ETP 协 议 允 许 移 动用 户 直接 发 起 L2TP 隧 道 连接 ， 要 求 移动 用 户 安装 VPDN 
的 客户 端 软件 入 需要 知道 LNS 的 IP 地 址 。 客 户 端 软件 可 以 是 windows 自 带 的 L2TP VPN 拨 号 软 
件 ， 也 可 以 是 华为 的 secoway VPNClient。 此 类 组 网 适用 于 移动 用 户 上 网 访问 企业 网 。 


。 各 组 件 的 工作 如 下 : 
of VPN Client: 首先 获得 公 网 地 址 ， 与 LNS 之 间 保 持 连 通 ， 向 LNS 发 起 建立 隧道 请 求 ; 
o LINS 为 用 户 分 配 私 网 地 址 ， 准 许 用 户 接 入 内 部 网 络 。 
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Client-Initialized 方 式 L2TP 配 置 


E1/0/1 
B ammer 
Å BA 
移动 办 公 cae E1/0/0 x 


192.168.1.1/24 


。 组 网 需求 
o 某 公司 建 有 自己 的 VPN 网 络 ， 在 公司 总 部 的 公 网 出 口 处 ， 放 置 了 一 台 VPN 网 关 ， 
即 USG 防 火 墙 。 要 求 出 差 人 员 能 够 通过 L2TP 隧 道 与 公司 内 部 王女 服务 器 进行 通信 





o LNS 侧 采用 本 地 验证 方式 。 其 中 : 
a LNS 设 备 为 U5G 防 火 墙 
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说 明 : 若 使 用 Windows 自 带 L2TP 客 户 端 软 件 拨号 请 禁用 IPsec 功能 项 。 
详细 操作 方法 如 下 : 
1、 在 “开始 > 运行 ”中 ， 输 入 regedit 命 令 ， 单 击 “ 确 定 ”， 进 入 注册 表 编辑 器 。 
2、 在 界面 左 侧 导 航 树 中 ， 定 位 至 “我 的 电脑 > HKEY_LOCAL_MACHINE > SYSTEM > 
CurrentControlSet > Services > Rasman > Parameters“ 。 在 该 路 径 下 右 侧 界面 中 ， 检 查 是 


否 存在 名 称 为 Prohibitlpsecss 数 据 类 型 为 DWORD 的 键 值 。 如 果 不 存 在 ， 请 单 击 右键 ， 
选择 “新 建 > DWORD 值 入 ，, 并 将 名 称 命名 为 ProhibitlpSec。 如 果 此 键 值 已 经 存在 ， 请 


执行 下 面 的 步骤 。 

3、 选 中 该 值 ， 单 击 右键 ， 选 择 “ 修 改 ”， 编 辑 DWORD 值 。 在 “数值 数据 ”文本 框 中 填写 
1, 单 击 “确定 ” S 

4、 重 新 启动 该 PCN 使 修改 生效 。 
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L2TP 配 置 思路 Client 
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Client 侧 设置 设置 的 认证 模式 和 aie LNS 侧 保持 一 致 。 


N 
A 


SS 
N 
N 
Q 


a= 


L2TP 配 置 思 路 一 一 LNS 








Hh A 


a a 


L2TP VPN 


。 创建 虚拟 接口 模板 。 
[LNS] interface Virtual-Template 1 
[LNS-Virtual-Template1] ip address 10.1.1.1 24 


[LNS-Virtual-Template1] remote address pool 1 
将 虚拟 接口 模板 加 入 安全 区 域 。 
配置 L2TP 组 。 

[LNS] I2tp enable 














[LNS] I2tp-group 1 


[LNS-l2tp1] tunnel authentication 
[LNS-I2tp1] tunnel password simple hello 
[LNS-I2tp1] tunnel name Ins 





配置 虚拟 接口 模板 加 入 安全 区 域 的 命令 为 : 


配置 一 LNS(1) 


[LNS-Virtual-Template1] ppp authentication-mode chap 


(步骤 省 略 ) 


[LNS-I2tp1] allow I2tp virtual-template 1 ( remote Client01 ) 
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[LNS-zone-trust] add interface Virtual-Template 1 





说 明 : 此 处 指定 的 地 址 池 号 需要 与 AAA 视图 


下 配置 的 地 址 池 相 对 应 。 


若 增加 “remote client01” 命令 ， 说 明 I2tp-group 不 是 L2TP 默 认 组 ， 且 将 只 接受 指 
ce A ClientO] 隧道 名 客户 端的 呼叫 ,而 不 带 “remote client01” 人 命令， 将 说 明 L2TP- 
group 1 为 L2TP 默 认 组 ， 可 接受 任意 的 客户 端 呼叫 。 


基于 Clienf-Inifialized 方 式 L2TP 若 启动 L2TP 隧 道 认证 ， 那 么 L2TP 客 户 端 软件 需 支持 和 
RATT, M4 ASecospace vpn client 客 户 端 软件 将 带 此 功能 。 


思考 : L2TP 默 认 组 的 主要 作用 ? 


L2TP VPN 典 型 配置 一 LNS(3) 


。 配置 用 户 类 型 及 账号 密码 。 
[LNS] aaa 
[LNS-aaa] local-user pc1 password simple pc1pc1 
[LNS-aaa] local-user pc1 service-type ppp xX 
[LNS-aaa] ip pool 1 4.1.1.1 4.1.1.99 
。 配置 域 间 缺 省 包 过 滤 规则 。 


[LNS] firewall packet-filter default permit interzone local untrust 
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进入 AAA 视图 。 
[LNS] aaa 





创建 本 地 用 户 名 和 密码 。 


[LNS-aaa] local-user pcl password simple pclpcl 


配置 用 户 类 型 。 


[LNS-aaa] local-userocservice-type ppp 


Ac Se AIP Hb db sty 
[LNS-aaa] ip pool 1 4.1.1.1 4.1.1.99 


配置 域 间 缺 省 包 过 滤 规 则 。 


[LNS] firewall packet-filter default permit interzone local untrust 


Q 401 0 










L2TP VPN 典 型 配置 一 LNS(Web) 





。 启 用 L2TP 服 务 — 





e 配置 L2TP 组 







本 请 隆 道 名 称 
对 请 隆 道 名 称 
隘 道 密码 认证 
Mi rr 单 击 “ 新 建 ”， 
MUMS | . 创建 一 个 L2TP 的 
APH " 用 户 。 
HP aie Rae MBI 

APS 

vpdnuser 

第 1 | 页 共 1 页 





LNS 





Client01 

































default 
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在 Web 配 置 界面 下 配置 L2TP 的 步骤 如 下 : 
1. 选择 “VPN > L2TP > L2TP” , 
2. 在 “配置 [2TP” 中 ， 选 中 L2TP 后 的 SBA”, h “VA” o 
3. 在 “L2TP 组 列表 ”中 ， 单 击 “新建 ”。。 
4. 选择 “组 类 型 ”为 “LNS”。 


5. 依次 输入 其 它 参 数 。 
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L2TP VPN 典 型 配置 一 LNS(Web) 


。 配置 LNS 端 其 它 参 数 










PPP 协 商 的 本 端 
IP 地 址 ， 相 当 于 
命令 行 配置 中 的 
虚 接口 模板 地 址 有 


















使 用 CHAP 认 证 。 





用 户 地 址 分 配 设置 

服务 器 地 址 
子 网 掩 码 
地 址 池 起 始 IP 192 . 168 . 1 10 |* 
地 址 池 结 束 IP 

高 级 
保 活 时 间 60 <60-1000> 秒 
AWP 隐 请 功 能 局 用 

EBILCP. 商 
应 用 
Copyright © 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 42 











W Huawei 


服务 器 地 址 是 PPP 协 商 的 本 端 P 地 址 。 AC E IPH fe, ARE PRULPPP ID RA AE OH AID , 


从 而 保证 拨号 上 线 用 户 通 过 L2TP 正 常 访问 LN5 端 的 内 网 服务 器 。 


选中 强制 本 端 YHAP 认 证 后 表示 在 讼 C 对 用 户 进行 认证 后 ，LNS 对 用 户 再 次 进行 CHAP 验 
证 ， 如 果 验 证 不 过 ， 会 话 就 不 能 建立 成 功 。 开 启 后 可 以 提高 安全 性 ， 但 是 会 增加 隧道 建立 


时 间 。 
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NAS-lnitialized 方 式 L2TP VPN 





PPP , 
一 L2TPTUNNEL 
| 

远 地 用 户 和 ~ Xx 
azan SO 
e : 

J 

US PPPoE $ e 
| L2TP TUNNEL i 

移动 ? 公 总 部 服务 器 


e VPN 用 户 相 当 于 货车 ，LAC 相 当 于 托运 处 
。 LAC: 你 的 货物 可 以 通过 ， 有 什么 需要 帮忙 的 ? 
。 VPN 用 户 : 请 把 这 些 货物 托运 到 XX 街 XX 号 
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用 户 通过 PSTN/ISDN 接 入 NAS(LAC)，LAC 判 断 如 果 是 VPN 用 户 ， 由 LAC 通 过 Internet 
向 LNS 发 起 建立 通道 连接 请 求 。 拨 号 用 户 地 址 由 LNS 分 配 ; 对 远程 拨号 用 户 的 验证 与 计 费 
既 可 由 LAC 侧 的 代理 完成 ， 也 可 在 LNS 侧 完成 。 这 种 方式 的 L2TP 协 议 ， 人 允许 用 户 在 接 入 到 
Internet 的 时 候 ， 通 过 BAS 设 备 发 起 L2IP 隧 道 连接 。 这 个 时 候 移 动用 户 是 不 需要 安装 额外 
的 VPDN 软 件 的 ， 但 是 必须 采用 PPP 的 方式 接 入 到 Internet， 也 可 以 是 PPPOE 等 协议 。 


当 在 LAC 设 备 上 对 用 户 的 用 户 名 、% 密 码 进行 验证 的 上 时候， 根据 用 户 名 就 可 以 知道 是 
L2TP 隧 道 用户 ， 然 后 自动 向 LNS 设 备 发 起 连接 ， 用 户 自然 就 接 入 到 了 自己 的 企业 VPN 中 了 
。 此 方案 适用 于 小 型 局 域 网 访问 公司 总 部 网 络 。 


。 各 组 件 的 工作 如 下 : 
1. VPN Client: p LACR EA EPPP (PPPOE); 
2. LAC: 判断 用 户 是 否 是 L2TP 用 户 ， 如 果 是 ， 判 断 用 户 向 哪个 LN3 发 起 隧道 请 求 ; 
3. LNS: 为 用 户 分 配 私 网 地 址 ， 准 许 用 户 接 入 内 部 网 络 。 
。 对 于 这 种 方式 的 VPDN 接 入 ， 主 要 有 如 下 几 个 特点 : 
1. 用 户 必 须 采 用 PPP 的 方式 接 入 到 Internet， 比 如 PPPOE 或 者 是 传统 的 PPP 拨 号 方式 等 
2. 在 运营 商 的 接 入 设备 上 (主要 是 BAS 设 备 ) 需要 开通 相应 的 VPN 服 务 。 
3. 用 户 需要 到 运营 商 出 申请 这 个 业务 。 
4 


. 对 客户 端 没有 任何 要 求 ， 用 户 自己 也 感知 不 到 已 经 接 入 到 了 企业 网 ， 完 全 是 运营 商 
来 提供 L2TP 隧 道 服务 。 


5. 一 个 隧道 承载 多 个 会 话 。 
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GRE 协 议 概 述 


| [one | PX | aa 
GRE Tunnel \4 








ipX 网 络 防火 墙 A 防火 墙 B IBX 网 络 


e GRE (Generic Routing Encapsulation): 是 对 某 些 网 络 层 协 WW (如 : 1IP，IPX， 
AppleTalk 等 ) 的 数据 报 进行 封装 ， 使 这 些 被 封装 的 数据 报 能 够 在 另 一 个 网 
络 层 协议 (如 IP) 中 传输 
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GRE (General Routing Encapsulation ,通用 路 由 封装 ) 是 对 某 些 网 络 层 协议 (如 IPX) 
的 报 文 进行 封装 ， 使 这 些 被 封装 的 报 文 能 够 在 另 一 网 络 层 协议 (如 IP) 中 传输 。 

GRE 提 供 了 将 一 种 协议 的 报 文 封装 在 另 乞 种 协议 报 文中 的 机 制 ， 使 报 文 能 够 在 异种 网 
路 中 传输 ， 封 装 后 报 文 的 传输 通道 称 为 tunnel。 

Tunnel 是 一 个 虚拟 的 点 对 点 的 连 搁 ， 可 以 看 成 仅 支 持 点 对 点 连接 的 虚拟 接口 ， 这 个 接 
口 提供 了 一 条 通路 ， 使 封装 的 数据 报 能 够 在 这 个 通路 上 传输 ， 并 在 一 个 Tunnel 的 两 端 分 别 
对 数据 报 进行 封装 及 解 封装 。 


GRE 的 实现 -隧道 接口 





。 隧道 接口 (Tunnel 接口 ) 是 为 实现 报 文 的 封装 面 提供 的 一 种 点 对 点 
类 型 的 虚拟 接口 ， 与 Loopback 接 口 类 似 ， 都 是 一 种 逻辑 接口 
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。 隧道 接口 包含 以 下 元 素 : 


o 源 地 址 : 报 文 传输 协议 中 的 源 地 址 。 从 负责 封装 后 报 文 传输 的 网 络 来 看 ， 隧 道 的 
源 地 址 就 是 实际 发 送 报 文 的 接口 IP 地 址 。 


o 目的 地 址 : 报 文 传输 协议 中 的 目的 地 址 。 从 负责 封装 后 报 文 传输 的 网 络 来 看 ， 隧 
道 本 端的 目的 地 址 就 是 隧道 月 的 端的 源 地 址 。 


o 隧道 接口 |P 地 址 : 为 了 和 在 隧道 接口 上 启用 动态 路 由 协议 ， 或 使 用 静态 路 由 协议 发 
布 隧道 接口 ， 要 为 隧道 接口 分 配 | 地址。 隧道 接口 的 |P 地 址 可 以 不 是 公 网 地 址 ， 
甚至 可 以 借用 其 他 接 唱 的 IP 地 址 以 节约 地 址 。 但 是 当 Tunnel 接 口 借 用 IP 地 址 时 ， 
由 于 Tunnel 接 口 本 身 没有 IP 地 址 ， 无 法 在 此 接口 上 启用 动态 路 由 协议 ， 必 须 配置 
静态 路 由 或 策略 路 由 才能 实现 路 由 器 间 的 连通 性 。 

o 封装 类 型 : 隧道 接口 的 封装 类 型 是 指 该 隧道 接口 对 报 文 进行 的 封装 方式 。 一 般 情 
况 下 有 四 种 封装 方式 ， 分 别 是 GRE、MPLS TE, IPv6-IPv4 和 IPv4-IPv6。 

经 过 手 王 配 置 ， 成 功 建立 隧道 之 后 ， 就 可 以 将 隧道 接口 看 成 是 一 个 物理 接口 ， 可 以 在 

其 上 运行 动态 路 由 协议 或 配置 静态 路 由 。 


QO 4070 


GRE 的 实现 -封装 与 解 封装 


封装 E 
xX 


Next hop: tunnel 协议 字段 : 47 
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报 文 在 GRE RE ei BHR RAP. MEANA, MRAR 
从 防火 墙 A (FWA) 向 防火 墙 5 (FW B) REAU R EFW A 上 完成 ; 而 解 封装 在 FW BE 
进行 。 

FW A 从 连接 私 网 的 接口 接收 到 私 网 报 文 后 ， 首 先 交 由 私 网 上 运行 的 协议 模块 处 理 。 


私 网 协议 模块 检查 私 网 报 文 头 中 的 目的 地 址 并 在 私 网 路 由 表 或 转发 表 中 查找 出 接口 ， 
确定 如 何 路 由 此 包 。 如 果 发 现 出 接口 是 Tunnel 接 口 ， 则 将 此 报 文 发 给 隧道 模块 。 


隧道 模块 收 到 此 报 文 后 进行 如 下 处 理 : 
1. 隧道 模块 根据 乘客 报关 的 协议 类 型 和 当前 GRE 隧 道 所 配置 的 Key 和 Checksum 参 数 ， 对 
报 文 进行 GRE 封装 ， 即 添加 GRE 头 。 
2. 根据 配置 信息 《传输 协议 为 |P) ， 给 报 文 加 上 IP 头 。 该 IP 头 的 源 地 址 就 是 隧道 源 地 址 
，IP 头 的 月 的 地 址 就 是 隧道 目的 地 址 。 


3. 将 该 报 文 交 给 IP 模 块 处 理 ，IP 模 块根 据 该 IP 头 目的 地 址 ， 在 公 网 路 由 表 中 查找 相应 的 
出 接口 并 发 送 报 文 。 之 后 ， 封 装 后 的 报 文 将 在 该 |P 公 共 网 络 中 传输 。 


解 封 装 过 程 和 封装 过 程 相 反 。FW B 从 连接 公 网 的 接口 收 到 该 报 文 ， 分 析 IP 头发 现 报 文 
的 目的 地 址 为 本 设备 ， 且 协议 字段 值 为 47 ， 表 示 协 议 为 GRE (参见 RFC1700) ， 于 是 交 给 
GRE 模块 处 理 。GRE 模块 去 掉 IP 头 和 GRE 报头 ， 并 根据 GRE 头 的 Protocol Type 字段 ， 发 现 此 
报 交 的 乘客 协议 为 私 网 上 运行 的 协议 ， 于 是 交 由 此 协议 处 理 。 此 协议 像 对 待 一 般 数据 报 一 
样 对 此 数据 报 进行 转发 。 
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GRE VPN 典 型 应 用 场景 摘 述 


E1/0/0 E2/0/0 
192.13.2.1/24 _ 131.108.5.2/24 ‘< 





EO/O/O piy 地 ,jp  £0/0/0 
10.1.1.1/24 BIKIA KHB 10.13.1424 


GRE Tunnel 


。 运行 IP 协 议 的 两 个 子 网 网 络 1 和 网 络 2， 通 过 在 防 类 堵 A 和 防火 墙 B 之 
间 使 用 三 层 隧道 协议 GRE 实 现 互联 。 
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GRE VPN 配 置 思路 
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配置 tunnel 逻 辑 接口 时 ， Ra 


内 网 网 段 的 路 由 时 ， 下 一 跳 为 tunnel 口 。 \ 


& 


配置 到 对 端 
网 络 内 网 网 


段 的 路 由 
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源 地 址 及 目的 地 址 。 配 置 到 对 端 网 络 





GRE VPN 暴 型 配置 (命令 行 ) 


。 配置 防火 墙 A。 

ao ”基本 配置 ( 略 ) 。 

o ”创建 并 配置 Tunnel1 接 口 
[USG_A] interface tunnel 1 X 
[USG_A-Tunnel1] ip address 10.1.1.1 24 
[USG_A-Tunnel1] tunnel-protocol gre 
[USG_A-Tunnel1] source 192.13.2.1 
[USG_A-Tunnel1] destination 131.108.5.2 

o ”配置 从 防火 墙 A 经 过 Tunnel1 接 口 到 Group2 的 静态 路 由 。 
[USG_A] ip route-static 10.1.3.0 255.255.255.0 tunnel 1 

o tunnel 1 加 入 Untrust 区 域 ， 并 配置 相应 域 间 转 发 策略 。( 略 ) 


。 ”防火 墙 5 的 配置 与 A 基本 一 致 ， 只 需 调换 隧道 的 源 地 址 和 由 的 地 址 以 及 默认 路 由 。 ( 
略 ) 
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GRE VPN 有 如 下 一 些 关键 配置 : 
o 创建 虚拟 Tunnel 接 口 
o 配置 Tunnel 接 口 的 源 端 地 址 


o 配置 Tunnel 接 口 的 目的 端 地 址 (Tunnel 的 源 端 地 址 与 目的 端 地 址 唯一 标识 了 一 
个 通道 ， 两 端 地 址 应 互 为 源 地 址 和 目的 地 址 。) 


o 配置 Tunnel 接 口 的 网 络 地 址 
o 防火 墙 域 间 转 发 策略 
防火 墙 B 的 配置 与 A 基 本 一 致 ， 命 令 行 参考 配置 如 下 : 
[B-TunnelTNip address 10.1.3.1 24 
[B-Tunnel] source 131.108.5.2 
[B-Tunnell] destination 192.13.2.1 
配置 从 防火 墙 B 经 过 Tunnel1 接 口 到 Croup 1 的 静态 路 由 。 
[B] ip route-static 10.1.1.0 255.255.255.0 tunnel 1 











~ 
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GRE VPN #82! ML (4s 77) 


。 配置 防火 墙 A。 
o ”基本 配置 ( 略 ) 。 
o 创建 并 配置 Tunnel1 接 口 
[USG_A] interface tunnel 1 X 
[USG_A-Tunnel1] ip address 10.1.1.1 24 
[USG_A-Tunnel1] tunnel-protocol gre 
[USG_A-Tunnel1] source 192.13.2.1 
[USG_A-Tunnel1] destination 131.108.5.2 
o ”配置 从 防火 墙 A 经 过 Tunnel1 接 口 到 Group2 的 静态 路 由 。 
[USG_A] ip route-static 10.1.3.0 255.255.255.0 tunnel 1 
a 将 tunnel 1 加 入 Untrust 区 域 ， 并 配置 相应 域 间 转发 策略 。( 略 ) 
。 ”防火墙 B 的 配置 与 A 基 本 一 致 ， 只 需 调 换 隧道 的 源 地 址 和 目的 地 址 以 及 默认 
路 由 。 (M) 
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GRE VPN 典 型 配置 (Web) 







新 建 GRE 接 口 










IP HEAL 


隧道 目的 IP 配 置 方式 ©) IP 地 址 


131 108 .5 








证 和 关键 字 识别 
rae VPN ZEH 


制 ， 为 可 选 配 置 。 
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在 Web 配 置 界面 中 ， 配 置 GRE VPN 的 操作 步骤 如 下 : 
选择 “VPN > GRE > GRE". 
2. Æ “GRE OSI” h, Sih “EA o 
3. 依次 输入 或 选择 GRE 接 口 各 项 参数 。 
4. 单 击 “ 应 用 ”。 
隧道 校 验 开启 后 ，GRE 隧 道 两 端 会 进行 端 到 端 校 验 和 的 验证 。 
配置 隧道 识别 关键 字 后 ， 隧 道 双 方 将 进 


年 进行 通道 识别 关键 字 的 验证 。 只 有 隧道 
的 识别 关键 字 完 全 一 致 时 才能 通过 验证 ， 否 则 将 报 文 丢 弃 。 


接口 名 称 Tunnle1 
安全 区 域 untrust vy 配置 Tunnel 接 口 
IP 地 址 10 .1 .1 .1 的 源 地 址 和 Am, 
55 . 255 . 255 地 址 。 
隆 道 源 IP 配 置 方式 






HUAWEI 





两 端 设置 


0 4130 


IPSec VPN 简 介 


e IPSec (Internet Protocol Security) 是 一 个 工业 标准 网 络 安全 协议 ， 
为 IP 网 络 通信 提供 透明 的 安全 服务 ， 保 护 TCP/IP 通 信和 免 遭 窃听 和 和 修改 
， 可 以 有 效 抵御 网 络 攻击 ， 同 时 保持 易 用 性 。 属 于 三 层 VPN。 K 
e |PSec 的 三 个 协议 : 


IKE 密 钥 交换 协议 | 
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IPsec 协议 是 特定 的 通信 方 之 间 在 IP 层 通过 加 密 气 数据 源 验 证 等 方式 ， 来 保证 数据 报 在 
网 络 上 传输 时 的 私有 性 、 完 整 性 、 真 实 性 和 防 重 放 。 


IPSec VPN 将 在 后 面 章节 详细 介绍 。 


0 440 


SSL VPN 简 介 


。 SSL (Secure Sockets Layer) 在 TCP/IP 协 议 栈 中 介 于 传输 和 应 用 
层 之 间 ， 基 于 TCP 的 应 用 层 协议 提供 安全 连接 。 


Secure xX 
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SSL 是 一 种 安全 协议 ， 可 以 分 为 SSL 记 录 协 议 skSSL record protocol) 、SSL 握 手 协议 ( 
SSL handshake protocol) 、SSL 密 码 变 化 协议 人 (SSL change cipher spec protocol) 和 SSL 警 
告 协 议 (SSL alert protocol) o 


SSL VPN 将 在 后 面 章节 详细 介绍 。 


0 450 
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总 结 


。 VPN 概 念 
© VPN 关 键 技 术 
。 VPN 分 类 及 应 用 


Copyright © 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 55 


W Huawei 








思考 题 


对 称 加 密 与 非 对 称 加 密 各 有 什么 特点 ? 

加 密 算法 与 散 列 算法 有 什么 不 同 ? 

密 钥 长 度 长 一 定 加密 强 度 强 吗 ? xX 
隧道 技术 在 VPN 技 术 中 有 哪些 主要 作用 ? 

为 什么 说 L2TP 是 二 层 VPN， 而 GRE 和 IPSEC 是 三 层 VPN? 

L2TP VPN 主 要 可 以 提供 哪些 安全 服务 ? 有 哪些 局 限 性 ? 

GRE VPN 主 要 应 用 在 哪些 场景 ? 它 有 什么 局 限 性 ? 
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@ 目标 


。 学 完 本 课程 后 ， 您 将 能 够 : 
o 理解 IPsec 技术 的 基本 原理 
o 理解 AH 和 ESP 技 术 xX 
o 了 解 IKE 协 议 的 业务 流程 
o 掌握 IPsec VPN 的 应 用 场景 及 配置 
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IPSec 简介 


e IPSec (IP Security) 协议 族 是 IETF 制 定 的 一 系列 安全 协议 ， 它 为 端 到 
端 IP 报 文 交 互 提供 了 基于 密码 学 的 、 可 互 操作 的 、 高 质量 的 安全 保 
护 机 制 。IPSec VPN 是 利用 IPSec 隧道 建立 的 网 络 层 VPN。 K 


w | IPSec VPN 
w ~ | 
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IPSec 特性 









ER | 
Data integrity 


os 
we 
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机 密 性 : 对 数据 进行 加 密 ， 确 保 数据 在 传输 过 程 中 不 被 其 它 人 员 查 看 ; 
完整 性 : 对 接收 到 数据 包 进行 完整 性 验证 ， 以 确保 数据 在 传输 过 程 中 没有 被 自 改 ; 
真实 性 : 验证 数据 源 ， 以 保证 数据 来 自 真实 的 发 送 者 (IP 报 文 头 内 的 源 地 址 ) ; 


抗 重 放 : 防止 恶意 用 户 通过 重复 发 送 捕获 到 的 数据 包 所 进行 的 攻击 ， 即 接收 方 会 拒绝 
旧 的 或 重复 的 数据 包 。 
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IPSec 安全 防护 特点 
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MHEIPERM LOMB TRUER EA rH LEN ABH (无 需 对 各 个 应 用 程 
序 进行 修改 ) 。 安 全 保护 措施 包括 机 密 性 、 完 整 性 、 真 实 性 和 抗 重 放 等 。 


IPSec 协议 基于 策略 对 数据 包 进行 安 全 保护 ， 如 对 某 业 务 数据 流 采用 某 类 保护 措施 ， 而 
对 另 一 类 业务 数据 流 采 用 其 它 类 保护 措施 %、 或 不 进行 任何 保护 措施 。 


本 图 例 中 ， 访 问 总 部 的 流量 实施 安全 保护 ， 而 对 于 访问 互联 的 流量 ， 则 不 进行 安全 保 
护 。 


O 4260 


IPSec 安全 防护 场景 


Internet 





。 IPSec 端 到 端 应 用 场景 
o 安全 网 关 (如 防火 墙 ) 之 间 (典型 场景 ) ; 
o 主机 与 安全 网 关 之 间 ; 
o 主机 与 主机 之 间 ; 
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当 分 布 于 不 同 地 域 的 企业 或 个 人 通过 Internet 进 行 通信 时 ， 由 于 处 于 不 同 的 物理 地 域 ， 
它们 之 间 进 行 通信 的 绝 大 部 分 流量 都 需要 穿越 Internet 上 的 未 知 网 络 ， 无 法 保证 在 网 络 上 
发 送 和 接收 数据 的 安全 性 。 

IPSec 提 供 了 一 种 建立 和 管理 安全 隧道 的 方式 ， 通 过 对 要 传输 的 数据 报 文 提 供认 证 和 加 
密 服务 来 防止 数据 在 网 络 内 或 通过 会 网 传输 时 被 非法 查看 或 自 改 ， 相 当 于 为 位 于 不 同 地 域 
的 用 户 创建 了 一 条 安全 的 通信 隧道 。 


应 用 场景 主要 由 以 下 三 种 类 型 
。 网 关 (如 防火 墙 ) 之 间 


此 种 应 用 场景 也 岂 点 到 点 或 点 到 多 点 IPsec VPN， 主 要 用 于 公司 总 部 与 分 支 机 构 之 间 建 
立 IPSec 隧 道 ， 从 而 实现 局 域 网 之 间 互 通 。 


。 主机 与 网 关 之 间 
主要 用 于 出 差 员工 通过 互联 网 需要 访问 总 部 资源 时 。 
。 £NSEMN SI 


主机 之 间 通 过 互联 网 进行 数据 传输 ， 需 要 加 密 时 ， 加 解密 操作 在 主机 侧 完成 。 某 些 场 
景 中 站 例如 服务 器 放 在 DMZ 区 域 ， 防 火 墙 配 置 NAT server, 也 可 以 实现 。 
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IPSec VPN 体 系 结构 








IPSec VPN 体 系 结构 











ESP: 封装 安全 载荷 







加 密 算法 





安全 策略 
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IPSec VPN 体 系 结构 主要 由 AH、ESP 和 IKE 协 谈 套 件 组 成 。IPSec 通 过 ESP 来 保障 IP 数 据 传 


输 过 程 的 机 密 性 ， 使 用 AH/ESP 提 供 数据 完整 性 、 数据 源 验证 和 抗 报 文 重 放 功 能 。ESP 和 AH 
定义 了 协议 和 载荷 头 的 格式 及 所 提供 的 服务 ， 但 却 没 有 定义 实现 以 上 能 力 所 需 具体 转 码 方 
式 ， 转 码 方式 包括 对 数据 转换 方式 ， 如 算法 、 密 钥 长 度 等 。 为 简化 IPsec 的 使 用 和 管理 ， 
IPSec 还 可 以 通过 IKE 进 行 自 动 协商 交换 密 钥 、 建 立 和 维护 安全 联盟 的 服务 。 具 体 介绍 如 下 








AH 协议 : AH 是 报 文 头 验证 协议 主要 提供 的 功能 有 数据 源 验证 、 数 据 完整 性 校 验 和 防 





报 文 重 放 功 能 。 然 而 ，AR 并 不 加 密 所 保护 的 数据 报 。 


ESP 协 议 : ESP 是 封装 安全 载荷 协议 。 它 除 提 供 AH 协议 的 所 有 功能 外 (但 其 数 
校 验 不 包括 IP 头 X ， 还 可 提供 对 IP 报 文 的 加 密 功能 。 


IKE 协 议 : IKE 协 议 用 手 自 动 协商 AH 和 ESP 所 使 用 的 密码 算法 。 
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居 完 整 性 


IKE 与 AH/ESP 之 间 关 系 


IKE 的 密 钥 协 商 
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IKE 是 UDP 之 上 的 一 个 应 用 层 协议 ， 是 IPsec 的 信 令 协议 。IKE 为 IPsec 协商 生成 密 钥 , 供 
AH/ESP 加 解密 和 验证 使 用 。AH 协 议和 ESRI 办 议 有 自己 的 协议 号 ， 分 别 是 51 和 50。 


0 4300 


IPSec 安全 协议 


e AH (Authentication Header) 报 文 头 验证 协议 ， 主 要 提 
供 的 功能 有 数据 源 验证 、 数 据 完 整 性 校 验 和 防 报 文 重 放 功 能 
; 然而 ，AH 并 不 加 密 所 保护 的 数据 报 文 。 XxX 


e ESP (Encapsulating Security Payload) ESP 是 封装 安 丛 载 
荷 协 议 。 它 除 提 供 AH 协 议 的 所 有 功能 外 〈 但 其 数据 完整 性 校 
验 不 包括 IP 头 ) ， 还 可 提供 对 IP 报 文 的 加 密 功 能 。 





e |PSec 通 过 AH (Authentication Header) FIESP ¢ 
Encapsulating Security Payload) 这 两 个 安 你 协议 来 实现 数据 报 
文 在 网 络 上 传输 时 的 私有 性 、 完 整 性 、 真 实 性 和 防 重 放 。 
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AH 和 ESP 是 IPSec 的 两 个 主要 协议 。 认 证 头 (AH, Authentication Header) 协议 为 IP 通 信 
提供 数据 源 认 证 、 数 据 完 整 性 检验 和 防 重 旅 保证。 封装 安全 载荷 (ESP, Encapsulating 
Security Payload) 为 IP 通 信 提 供 完 整 性 检验 多 认证 、 加 密 和 防 重 放 保证 。 


AH 和 ESP 可 以 单独 使 用 ， 也 可 以 同时 使 用 。 在 实际 的 组 网 中 ,ESP 协 议 使 用 较 多 。 
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IPSec 协议 封闭 模式 


A 。 Al IPS JIP i i 
巷 输 模 趟 在 传输 模式 下 ，IPSec 头 被 插入 到 IP 头 之 后 但 在 所 有 传输 层 协 议 之 前 











， 或 所 有 其 他 IPSec 协 议 之 前 。 
en Qa ee 
文 头 放 到 AH 或 ESP 之 前 。 
传输 模式 3 
fou IPH ™IPSec™ Daa 
New IPH 出 IPSec Org IPH | Data 
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IPsec 协议 有 两 种 封装 模式 : 传输 模式 和 隧道 模式 。 

在 传输 模式 下 ，IPSsec 协 议 处 理 模 块 会 在 IP 报 头 和 高 层 协 议 报头 之 间 揪 入 一 个 IPsec 报头 
。 在 这 种 模式 下 ，IP 报 头 与 原始 IP 分 组 中 的 IP 报 头 是 一 致 的 ， 只 是 IP 报 文中 的 协议 字段 会 被 
改 成 IPSec 协 议 的 协议 号 (50 或 者 51) ， 并 重新 计算 iP 报 头 校 验 和 。 传 输 模式 保护 数据 包 的 
有 效 载荷 、 高 层 协 议 ，IlPSec 源 端点 不 会 修改 IP 报 头 中 目的 IP 地 址 ， 原 来 的 IP 地 址 也 会 保持 
明文 。 传 输 模式 只 为 高 层 协议 提供 安全 服务 。 这 种 模式 常 应 用 在 需要 保护 的 两 人 台 主 机 之 间 
的 端 到 端 连 接 ， 而 不 是 多 人 台 主 机 的 两 个 网 关 之 间 的 数据 流 。 

与 传输 模式 不 同 ， 在 隧道 模式 下 ， 原 始 IP 分 组 被 封装 成 一 个 新 的 IP 报 文 ， 在 内 部 报头 
以 及 外 部 报头 之 间 揪 入 一 个 IPsec 报头 ， 原 IP 地 址 被 当 作 有 效 载 荷 的 一 部 分 收 到 IPsec 的 保护 
。 另 外 ， 通 过 对 数据 加 密 ， 还 可 以 隐藏 原 数据 包 中 的 IP 地 址 ， 这 样 更 有 利于 保护 端 到 端 通 
信 中 数据 的 安全 性 。 
传输 模式 (Transport Mode) : 
1) 应 用 场景 1: 主机 与 网 络 安 全 网 关 之 间 的 通信 ; 
2) 应 用 场景 2: 主机 与 主机 之 间 的 通信 。 
隧道 模式 (Tunnel Mode) : 
1) 应 用 场景 : 网络 安 全 网 关 与 网 络 安 全 网 关 之 间 的 通信 。 
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IPsec 协议 封闭 模式 对 比 


。 封装 模式 对 比 : 


o 安全 性 : 
» ”隧道 模式 隐藏 原 IP 头 信息 ， 安 全 性 更 好 。 
口 性 能 : 


。 ”隧道 模式 有 一 个 额外 的 IP 头 ， 隧 道 模式 比 传输 模式 占有 由 更 多 带宽 。 
o 具体 选择 那 封装 模式 ， 需 要 在 性 能 和 安全 之 间 做 权衡 。 
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加 密 和 验证 算法 


。 加 密 算法 
o DES ( 56bit>64bit ) 
o 3DES( 34. 56bit >64bit ) 





a AES (128. 192. 256) 计算 复杂 度 与 加 密 Ne 
o 国 密 (256) 强度 没 必然 联系 ”入 
。 验证 算法 D 


a MD5(128bit) 
o SHA-1( 160bit ) 
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。 加 密 算法 : 


ESP 能 够 对 IP 报 文 内 容 进 行 加 密 保护 , 防止 报 文 内 容 在 传输 过 程 中 被 帘 探 。 加 密 算法 实 
现 主要 通过 对 称 密 钥 系 统 ， 它 使 用 相同 的 密 钥 对 数据 进行 加 密 和 解密 。 


一 般 来 说 IPSec 使 用 加 密 算法 有 以 不 几 种 : 
o DES (Data Encryption Standard) 
使 用 56bit 的 密 钥 对 了 个 64bit 的 明文 块 进行 加 密 。 
o 3DES (Triple Data Eneryption Standard) 
使 用 三 个 56bit 的 DES 密 钥 ( 共 168bit 密 钥 ) 对 明文 进行 加 密 。 
o AES (Advaneed Encryption Standard) 
使 用 AES 密 钥 对 明文 进行 加 密 。 密 钥 的 长 度 分 为 128bit、192bit、256bit。 
3DES 比 DES9 具 有 更 高 的 安全 性 ， 但 其 加 密 数据 的 速度 要 比 DES 慢 得 多 。AES 比 3DES 
的 计算 复杂 度 低 ， 而 加 密 强 度 却 比 3DES 高 。 
。 验证 算法 : 

AH 和 ESP 都 能 够 对 IP 报 文 的 完整 性 进行 验证 ， 以 判别 报 文 在 传输 过 程 中 是 否 被 自 改 。 
验证 算法 的 实现 主要 是 通过 杂 凌 函数 ， 杂 次 函数 是 一 种 能 够 接受 任意 长 的 消息 输入 ， 并 产 
生 固定 长 度 输 出 的 算法 ， 该 输出 称 为 消息 摘要 。IPsec 对 等 体 计 算 摘要 ， 如 果 两 个 摘要 是 相 
同 的 ， 则 表示 报 文 是 完整 未 经 自 改 的 。 
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ine, 密 和 验证 算 法 


e 加 密 算法 
a DES ( 56bit>64bit ) 
o 3DES( 3 个 56bit >64bit ) 





a AES (128. 192. 256) 计算 复杂 度 与 加 密 -x 
o” 国 密 (256) 强度 没 必然 联系 ”和 
。 验证 算法 KA 


a _ MD5(128bit ) 
a SHA-1( 160bit ) 
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一 般 来 说 IPsec 使 用 两 种 验证 算法 : 
o MD5 (Message Digest 5) 
MD5 通 过 输入 任意 长 度 的 消息 入 产生 128bit 的 消息 摘要。 
a SHA-1 (Secure Hash Algorithm) 
SHA-1 通 过 输入 长 度 小 于 264bit 的 消息 ， 产 生 160bit 的 消息 摘要 。 


SHA-1 的 摘要 长 于 MD5， 因 而 是 更 安全 的 。 但 是 SHA1 的 计算 过 程 比 MD5 更 耗费 时 


间 和 资源 。 
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IPSec 安全 协议 -AH 
。 提供 数据 源 验 证 (真实 性 ) 、 完 整 性 校 验 和 抗 重 放 
。 不 支持 加 密 算法 


[ 下 一 个 报 文 头 i 载荷 长 度 | 保留 字段 X 


安全 参数 索引 (SPI) 





序列 号 





认证 数据 


载荷 数据 
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e IPsec 协议 组 成 一 一 AH 


验证 头 (Authentication Header, AH 六 是 IPSec 协议 集合 中 的 另外 一 个 重要 安全 协议 ， 
用 于 为 |P 提 供 数据 完整 保护 、 数 据 原始 身份 认证 以 及 防 重 放 服务 。 它 定义 在 RFC2402 中 。 
除了 机 密 性 之 外 ，AH 提 供 ESP 能 够 提供 的 亏 切 功 能 。 


由 于 AH 不 提供 机 密 性 保证 ， 记 以 它 也 不 需要 加 密 算法 。AH 定 义 保护 方法 、 报 头 的 位 
置 、 身 份 验证 的 覆盖 范围 以 及 输出 和 输入 处 理 规则 ， 但 没有 对 所 用 的 身份 验证 算法 进行 定 
义 。 与 ESP 一 样 ，AH 没 有 硬性 规定 防 重 放 保护 ， 是 否 使 用 防 重 放 服 务 由 接收 端 自行 选择 。 
发 送 端 无 法 得 知 接收 端 是 否 会 检查 其 序列 号 ， 其 结果 是 ， 发 送 端 必须 一 直 认 定 接收 端正 在 
采用 防 重 放 服 务 。 

和 ESP 一 样 ，AH 也 是 IP 的 一 个 万 用 型 安全 服务 协议 。 但 是 AH 提 供 的 数据 完整 性 与 ESP 提 
供 的 数据 完整 性 稍 有 不 同 i AH 对 外 部 IP 头 各 部 分 也 会 进行 身份 验证 。 

AH 分 配 到 的 协议 号 是 51。 也 就 是 说 ， 使 用 AH 协 议 进 行 安全 保护 的 IPv4 数 据 报 文 的 IP 头 
部 中 协议 字段 将 是 51， 表 明 IP 头 之 后 是 一 个 AH 头 。AH 头 比 ESP 头 简单 得 多 ， 因 为 它 没有 提 
供 机 密 性 。 由 于 不 需要 填充 和 一 个 填充 长 度 指示 器 ， 因 此 也 不 存在 尾部 字段 。 另 外 ， 也 不 
需要 六 个 初始 化 向 量 。 
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AH 报 文 封闭 模式 


ina» IPH | Data 
传输 模式 
4 IPH WAH Data \ 
©, | 一 一 验证 所 有 不 变 部 分 “一 A] 
New IPH WAH Org IPH | Data 
| 一 一 验证 除 新 IP 头 可 变 字段 之 外 的 。 ~ | 
所 有 不 变 部 分 


。 AH 在 IP 报 文 头 中 的 协议 号 为 51 
o 传输 模式 : 验证 整个 IP 报 文 
o 隧道 模式 : 验证 新 IP 头 及 整个 IP 报 文 
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AH 使 用 传输 模式 来 保护 一 个 上 层 协 议 。 或 者 使 用 隧道 模式 来 保护 一 个 完整 的 |P 数 据 报 
。 在 任何 一 种 模式 下 ， AH 头 都 会 紧 跟 在 一 个 IP 头 之 后 。AH 可 以 单独 使 用 ， 也 可 以 与 ESP 
联合 使 用 ， 为 数据 提供 最 完整 的 安全 保护 。 


AH 用 于 传输 模式 时 ， 保 护 的 是 端 到 端的 通信 。 通 信 的 终点 必须 是 IPsec 终点 。AH 头 被 
插 在 数据 报 中 ， 紧 跟 在 IP 头 之 后 (和 任意 选项 ) ， 需 要 保护 的 上 层 协议 之 前 。 

AH 用 于 隧道 模式 时 ， 它 将 自己 保护 的 数据 报 文 封装 起 来 ， 另 外 ， 在 AH 头 之 前 ， 另 添 
了 一 个 新 的 IP 头 。“ 里 面 的 ”IP 数 据 报 中 包含 了 通信 的 原始 报 文 ， 而 新 的 IP 头 则 包含 了 
IPSec 端点 的 地 址 。 隧 道 模式 下 用 来 替换 端 对 端 安全 服务 的 传输 模式 。 
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IPSec 安全 协议 -ESP 


。 提供 数据 真实 性 、 数 据 完整 性 、 抗 重 放 、 数 据 机 密 性 
。 支持 加 密 算法 
安全 参数 索引 (SPI) x 
序列 号 


初始 化 向 量 


载荷 数据 





填充 字段 i 填充 长 度 | A 





认证 数据 
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。 IPSec 协议 组 成 一 一 ESP 


ESP 使 用 一 系列 加 密 算法 提供 机 密 性 N 数据 完整 性 则 由 认证 算法 保证 。 具 体 使 用 过 程 
中 采用 的 算法 则 是 由 ESP 安 全 联盟 的 相应 组 件 决 定 的 。 另 外 ESP 能 够 通过 序列 号 提供 防 重 放 
服务 ， 至 于 是 否 采用 则 由 数据 包 的 接收 者 来 决定 。 这 是 因为 一 个 唯一 的 、 单 向 递增 的 序列 
号 是 由 发 送 端 插 入 的 ， 但 却 并 不 要 求 接收 端 对 该 数据 报 进行 检验 。 由 于 这 项 保护 对 安全 性 
大 有 好 处 ， 所 以 一 般 都 会 采用 。 

ESP 可 在 不 同 的 操作 模式 下 使 用 。 不 管 ESpP 处 于 什么 模式 ， ESP 头 都 会 紧 紧 跟 在 一 个 IP 
头 之 后 。 在 IPv4 中 ，ESp 头 紧 忠 春 jp 头 后 面 。ESpP 使 用 的 协议 号 是 50。 也 就 是 说 ， 当 ESP 头 插 
入 原始 报 文中 后 ，ESp 之 前 揭 Ip 头 中 的 协议 字段 将 是 50， 以 表明 IP 头 之 后 是 一 个 ESp 头 


作为 一 个 IPsec 头 ，ESR 头 中 必然 包含 一 个 SPI 字 段 。 这 个 值 ， 和 IP 头 之 前 的 目标 地 址 以 
及 协议 结合 在 一 起 ， 用 来 标识 特定 的 安全 联盟 。SPI 本 身 是 个 任意 数 ， 可 以 是 使 用 者 自己 指 
定 ， 也 可 交 由 人 心 些 密 钥 管理 技术 自行 协商 决定 。 需 要 注意 的 是 ， SPI 可 以 经 过 了 验证 ， 但 
却 无 法 被 加 密 。 这 是 必 不 可 少 的 一 种 做 法 ， 因 为 SPI 用 于 SA 的 标识 ， 指 定 了 采用 的 加 密 算 
法 以 及 密 铀 ,并 用 于 对 包 进 行 解密 。 如 果 SPI 本 身 已 被 加 了 密 ， 我 们 会 碰 到 一 个 非常 严重 的 
问题 一 一 " 先 有 鸡 ， 还 是 先 有 和 蛋 ”。 

序列 号 是 一 个 独一无二 、 单 向 递增 、 并 由 发 送 端 插 在 ESP 头 中 的 一 个 32 位 数值 。 通 过 
序列 号 ESP 具 有 了 防 重 放 的 能 力 。 与 5PI 一 样 ， 序 列 号 经 过 了 验证 ， 但 却 没有 加 密 。 这 是 
由 于 我 们 希望 在 协议 模块 处 理 流程 的 最 前 端 可 以 根据 它 判断 一 个 包 是 否 重 复 ， 然 后 决定 是 
人 否 丢 痉 这 个 包 ， 而 不 至 于 动用 更 多 的 资源 对 其 进行 解密 。 
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初始 化 向 量 (IV, Initial Vector) 并 不 是 一 个 必 不 可 少 的 字段 ， 但 在 ESP 定 义 的 加 密 算法 
中 ， 有 一 些 特 殊 的 加 密 算法 需要 这 个 值 。 根 据 不 同 的 加 密 算法 ，IV 的 取 值 方式 也 不 尽 相 同 
。 以 DES-CBC 来 说 ，IV 是 载荷 数据 字段 中 的 第 一 个 8 位 组 。 相 同 的 原因 ，IV 也 是 只 验证 不 加 
密 的 字段 。 

填充 字段 在 ESP 头 中 主要 有 三 个 功能 。 某 些 加 密 算 法 对 输入 的 明文 有 严格 的 定义 ， 例 
如 明文 的 大 小 必须 是 某 个 数目 字 节 的 整数 倍 (如 分 块 加 密 算法 中 要 求 明文 是 单 块 长 度 的 整数 
倍 ) 。 填 充 字段 的 第 一 个 功能 就 是 将 明文 扩展 到 算法 需要 的 长 度 。 另 外 ， 由 书 始 要求 ESP 
头 必须 是 32 比 特 的 整数 倍 ，“ 填 充 长 度 ” 以 及 “下 一 个 报头 ”这 两 个 字段 需要 靠 右 对 齐 排 
列 ， 填 充 字 段 也 用 来 保证 这 样 的 报 文 格式 。 最 后 一 个 功能 是 处 于 安全 性 考虑 的 ， 就 是 填充 
字段 可 以 隐藏 数据 载荷 的 实际 长 度 ， 从 而 提供 一 定 的 保密 性 。 填 充 字 段 的 最 大 长 度 可 达 
255 个 字 节 。 填 充 内 容 与 提供 机 密 性 的 加 密 算法 有 关 ， 如 果 这 个 算法 定义 了 一 个 特定 值 ， 
那么 填充 字段 的 内 容 就 只 能 采用 这 个 值 。 如 果 算 法 没有 指定 需要 填充 的 值 ，ESP 就 会 指定 
填充 的 第 一 个 字 节 的 值 是 1， 后 面 的 所 有 字 节 值 都 单 向 递增 。 


填充 长 度 字 段 则 标明 了 “填充 字段 ”中 填充 数据 的 长 度 。 接 收 端 可 以 根据 这 个 字段 恢 
复 载荷 数据 的 真实 长 度 。 填 充 项 长 度 字 段 是 硬性 规定 的 ,。 因 此 ， 即 使 没有 填充 ， BRAKE 
字段 仍 会 将 它 表示 出 来 。 

下 一 个 报头 字段 表明 载荷 内 的 数据 类 型 。 如 果 在 隧道 模式 下 使 用 ESP， 这 个 值 就 会 是 4 
， 表 示 IP-in-IP。 如 果 在 传输 模式 下 使 用 ESsP， 这 个 值 表 示 的 就 是 它 背 后 的 上 一 级 协议 的 类 
型 ， 比 如 TCP 对 应 的 就 是 6。 

认证 数据 字段 用 于 容纳 数据 完整 性 的 检验 结果 ， 通 常 是 一 个 经 过 密 钥 处 理 的 散 列 函数 
。 这 一 字段 的 长 度 由 SA 所 用 的 身份 验证 算法 决定 。 如 果 SA 中 没有 指定 认证 算法 ， 则 认证 
数据 字段 将 不 存在 。 
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ESP 报 文 封装 模式 


iia. IPH Data 
传输 模式 
IPH »™®ESPH™ Data ESP Trailer | ESP Auth 
in < 一 加 密 部 分 
RËRE < 验证 部 分 


ESP Trailer ESP Auth 





| ——— nmm — N 


+— 验证 部 分 > 








。 ESP 在 iP 报头 中 的 协议 号 为 50 
o 传输 模式 : ESP 报 头 位 于 IP 报 头 和 传输 层 协 议 报头 之 间 ， 在 数据 后 面 增 加 ESP 尾 
a 隧道 模式 : ESP 报 头 位 于 新 IP 头 和 初始 报 文 之 间 ， 在 数据 后 面 增 加 ESP 尾 。 
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具体 应 用 中 ，ESP 可 以 使 用 传输 模式 也 可 以 使 用 隧道 模式 。 不 同 的 模式 决定 了 ESP 对 保 
护 对 象 的 定义 。 在 传输 模式 中 无 法 保护 原 有 的 IP 头 ; 在 隧道 模式 中 ， 整 个 原始 报 文 都 可 以 
受到 保护 。 
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用 IPsec 保护 一 个 IP 包 之 前 ， 必 须 先 建 立 一 个 安全 联盟 (SA) 。IPSec 的 安全 联盟 可 以 通 
过 手工 配置 的 方式 建立 。 但 是 当 网 络 中 节点 较 多 时 ， 手 工 配置 将 非常 困难 ， 而 且 难 以 保证 
安全 性 。 这 时 就 可 以 使 用 IKE (Internet Key\Exchange) 自动 进行 安全 联盟 建立 与 密 钥 交 换 
的 过 程 。Internet 密 钥 交换 (IKE) 就 用 于 动态 建立 SA， 代 表 IPSec 对 SA 进行 协商 。 


由 RFC2409 文 件 描 述 的 IKE 属 于 侍 种 混合 型 协议 。 它 建立 在 由 Internet 安 全 联盟 和 密 钥 管 
理 协议 (ISAKMP) 定义 的 一 个 框 狐 呈 ， 详 情 可 见 RFC2408 文 件 。 同 时 ，IKE 还 实现 了 两 种 
密 钥 管理 协议 的 一 部 分 一 一 Qakl8&y 和 SKEME。 此 外 ，IKE 还 定义 了 它 自己 的 两 种 密 钥 交 换 方 
起 和 


Oakley 是 由 亚利桑那 大 学 的 安全 专家 Hilarie Orman 开 发 的 一 种 基于 Diffie-Hellman ( 简 
称 “DH”) 算法 的 协议 实 它 是 一 种 自由 形态 的 协议 ， 人 允许 各 研究 机 构 根据 自身 的 水 平 改进 
协议 状态 。IKE 在 其 基础 上 定义 了 正规 的 密 钥 交 换 方 法 。 尽 管 由 于 降低 了 Oakley 模 型 的 灵活 
性 ， 但 仍然 提供 了 多 种 交换 模式 供用 户 选 择 ， 所 以 最 终 还 是 成 为 一 个 非常 适宜 的 密 钥 交 换 
技术 。 

SKEME 则 是 另外 一 种 密 钥 交换 协议 ， 由 加 密 专 家 Hugo Krawczyk 设 计 。SKEME 定 义 了 如 
何 验 证 密 钥 交换 。 其 中 ， 通 信 各 方 利 用 公共 密 钥 加 密实 现 相互 间 的 验证 ， 同 时 “共享 ” 交 
换 的 组 件 。 每 一 方 都 要 用 对 方 的 公共 密 钥 来 加 密 一 个 随机 数字 ， 两 个 随机 数 (解密 后 ) 都 
会 对 最 终 的 密 钥 产 生 影响 。IKE 在 它 的 一 种 验证 方法 (公共 密 钥 加 密 验证 ) 中 ， 直 接 借用 了 
SKEME 的 这 种 技术 。 


ISAKMP 是 由 美国 国家 安全 局 (NSA) 的 研究 人 员 开 发 出 来 的 。NSA 过 去 是 一 个 高 度 机 
密 的 组 织 ， 美 国政 府 甚至 还 否认 过 它 的 存在 。 近 年 来 ， NSA 已 慢 慢 走 到 公众 面前 ， 其 专 
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业 加 密 技术 和 安全 技术 也 日 渐 引 人 瞩目。ISAKMP 便 是 由 它 公开 的 一 项 技术 。 


ISAKMP、Oakley 和 SKEME 一 这 三 个 协议 构成 了 IKE 的 基础 。 因 此 ， 我 们 说 IKE 是 一 种 “ 
混合 型 ”协议 ， 它 沿用 了 ISAKMP 的 基础 、Oakley 的 模式 以 及 SKEME 的 共享 和 密 钥 更 新 技术 
， 从 而 定义 出 自己 独一无二 的 验证 加 密 材料 生成 技术 ， 以 及 协商 共享 策略 。 在 IKE 规 范 中 ， 
三 种 技术 发 挥 的 作用 可 在 后 文 对 IKE 杰 身 的 讨论 中 略 见 一 二 ， 其 中 ISAKMP 发 挥 的 作用 最 为 
巨大 。 


ISAKMP 定 义 了 通信 双方 沟通 的 方式 ， 信 息 的 格式 以 及 定义 了 保障 通信 安全 的 状态 变换 
过 程 。 但 ISAKMP 本 身 没有 定义 具体 的 密 钥 交换 技术 。 密 钥 交 换 的 定义 留 给 其 他 协议 处 理 
。 对 IPSec 而 言 ， 已 定义 的 密 钥 交换 就 是 IKE 一 一 即 Internet 密 钥 交 换 。IKE 利 用 ISAKMP 语 言 
来 定义 密 钥 交换 ， 是 对 安全 服务 进行 协商 的 手段 。IKE 交 换 的 最 终结 果 是 一 个 通过 验证 的 密 
钥 以 及 建立 在 双方 同意 基础 上 的 安全 服务 亦 即 所 谓 的 “IPSec 安 全 联盟 (IPSec SA) ” 
。 但 是 ， IKE 并非 仅 由 IPSec 专 用 的 。 只 要 其 他 协议 需要 ， 比 方 说 RIPv2 或 OS5PF， 也 可 以 使 用 
它 来 提供 安全 服务 。 
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IKE 的 安全 机 制 





w 
司 


。 IKE 具 有 一 套 自 保护 机 制 ， 可 以 在 不 安全 的 网 络 上 安全 地 分 发 密 钥 、 验 证 身 
份 、 建 立 IPSec 安 全 联盟 。 
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IKE 具 有 一 套 自 保护 机 制 ， 可 以 在 不 安全 的 网 络 上 安全 地 分 发 密 验证 身份 、 建 立 
IPSec 安全 联盟 。 


e DH (Diffie-Hellman) 交换 及 密 钥 分 发 


Diffie-Hellman 算法 是 一 种 公共 密 钥 算法 。 通 信 双 方 在 不 传送 密 钥 的 情况 下 通过 交换 一 
些 数 据 ， 计 算出 共享 的 密 钥 。 加 密 的 前 提 是 交换 加 密 数 据 的 双方 必须 要 有 共享 的 密 钥 。 
IKE 的 精髓 就 在 于 它 永 远 不 在 淮安 全 的 网 络 上 直接 传送 密 钥 ， 而 是 通过 一 系列 数据 的 交换 
， 最 终 计 算出 双方 共享 的 密 钥 。 即 使 第 三 者 (如 黑客 ) 截获 了 双方 用 于 计算 密 钥 的 所 有 交 
换 数据 ， 也 不 足以 计算 出 真正 的 密 钥 。 


。 完善 的 前 向 安全 性 、(Perfect Forward Secrecy) 


PFS 是 一 种 安全 特性 , 7 指 一 个 密 钥 被 破解 ， 并 不 影响 其 他 密 ee 因为 这 些 密 
钥 间 没 有 派生 关系 。PFS 是 由 DH 算法 保障 的 。 此 特性 是 通过 在 IKE 阶段 2 的 协商 中 增加 密 
钥 交 换 来 实现 的 。 


。 身份 验证 


身份 验证 确认 通信 双方 的 身份 。 对 于 pre-shared key 验证 方法 ， 验 证 字 用 来 作为 一 个 
输入 产生 密 钥 ， 验 证 字 不 同 是 不 可 能 在 双方 产生 相同 的 密 钥 的 。 验 证 字 是 验证 双方 身份 的 
关键 。 


。 身份 保护 
身份 数据 在 密 钥 产生 之 后 加 密 传送 ， 实 现 了 对 身份 数据 的 保护 。 
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IKE 在 IPsec 协议 的 作用 


。 降低 手工 配置 的 复杂 度 
。 安全 联盟 定时 更 新 

。 密 钥 定 时 更 新 x 
。 多 许 IPSec 提供 反 重 放 服 务 
。 多 许 在 端 与 端 之 间 动态 认证 
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IKE 协 议 中 的 DH 交 换 过 程 ， 每 次 的 计算 和 产生 结果 都 是 毫 无 关系 的 。 为 保证 每 个 安全 
联盟 所 使 用 的 密 钥 互 不 相关 ， 必 须 每 次 安全 联盟 的 建立 都 运行 DH 交换 过 程 。 

IPSec 使 用 IP 报 文 头 中 的 序列 号 实现 防 重 放 。 此 序列 号 是 一 个 32 比 特 的 值 ， 此 数 溢出 后 
， 为 实现 防 重 放 ， 安 全 联盟 需要 重新 建 A、 这 个 过 程 与 要 IKE 协 议 的 配合 。 

对 安全 通信 的 各 方 身份 的 的 验证 和 管理 ， 将 影响 到 IPsec 的 部 署 。IPSec 的 大 规模 使 用 ， 
必须 有 CA-Certification Authority (认证 中 心 ) 或 其 他 集中 管理 身份 数据 的 机 构 的 参与 。 
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安全 联盟 (Security Association) 


e EX: 
o SA 是 通信 对 等 体 间 对 某 些 要 素 的 约定 ,通信 的 双方 符合 yA 约 定 的 内 容 ， 
就 可 以 建立 SA。 K 


。 SA 由 三 元 组 来 唯一 标识 ， 包 括 : 
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IPSec 是 在 两 个 端点 之 间 提 供 安全 通信 ,， 端 点 被 称 为 IPsec 对 等 体 。IPsec 能 够 允许 系统 
、 网 络 的 用 户 或 管理 员 控 制 对 等 体 间 安全 服务 的 粒度 。 例 如 ， 某 个 组 织 的 安全 策略 可 能 规 
定 来 自 特 定子 网 的 数据 流 应 同时 使 用 AN 和 ESP 进 行 保护 ， 并 使 用 3DES (Triple Data 
Encryption Standard) 进行 加 密 ; 另 一 方面 ， 策 略 可 能 规定 来 自 另 一 个 站 点 的 数据 流 只 使 
用 ESP 保 护 ， 并 仅 使 用 DES 加 密 。 通 过 SA (SecurityAssociation) ，IPSsec 能 够 对 不 同 的 数据 
流 提供 不 同 级 别 的 安全 保护 。 

安全 联盟 是 IPSec 的 基础 ， 也 是 IPsec 的 本 质 。SA 是 通信 对 等 体 间 对 某 些 要 素 的 约定 ， 
例如 ， 使 用 哪 种 安全 协议 ss 协议 的 操作 模式 〈 传 输 模 式 和 隧道 模式 ) 、 加 密 算法 (DES 和 
3DES) 、 特 定 流 中 保护 数据 的 共享 密 钥 以 及 密 钥 的 生存 周期 等 。 

安全 联盟 是 单 向 的 们 在 两 个 对 等 体 之 间 的 双向 通信 ， 最 少 需要 两 个 安全 联盟 来 分 别 对 
两 个 方向 的 数据 流 进行 安全 保护 。 入 站 数据 流 和 出 站 数据 流 分 别 由 入 站 SA 和 出 站 SA 进行 处 
理 。 同 时 ， 如 果 希 望 同时 使 用 AH 和 ESP 来 保护 对 等 体 间 的 数据 流 ， 则 分 别 需要 两 个 SA， 一 
个 用 于 AH ， 另 二 个 用 于 ESP。 

安全 联盟 由 一 个 三 元 组 来 唯一 标识 ， 这 个 三 元 组 包括 安全 参数 索引 (SPI, Security 
Parameter Index) 、 目 的 IP 地 址 、 安 全 协议 号 (AH 或 ESP) o SPI 是 为 唯一 标识 SA 而 生成 
的 一 个 了 比特 的 数值 ， 它 在 IPSec 头 中 传输 。 

IPSec 设备 会 把 SA 的 相关 参数 放 入 SPD (Security Policy Database) 里 面 ，SPD 里 面 存放 
着 “什么 数据 应 该 进行 怎样 的 处 理 ” 这 样 的 消息 ， 在 IPSec 数 据 包 出 站 和 入 站 的 时 候 会 首先 
从 SPD 数 据 库 中 查找 相关 信息 并 做 下 一 步 处 理 。 
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IKE SA 与 IPSec SA 
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从 协商 的 内 容 上 来 看 ， 由 于 IKE SA 的 主要 作用 是 为 IPsec SA 协商 出 所 使 用 的 安全 协议 ， 
因此 IKE SA 的 主要 协商 内 容 为 AH 或 EsP 协 议 所 使 用 的 认证 算法 和 加 密 算法 ， 以 及 IPsec 所 使 
用 的 认证 方法 。 

IPSec SA 是 要 建立 IPsec 隧道 的 通信 双方 对 隧道 参数 的 约定 ， 包 括 隧道 两 端的 |P 地 址 ， 
隧道 采用 的 验证 方式 、 验 证 算法 、 (验证 密 钥 、 加 密 算法 、 加 密 密 钥 、 共 享 密 钥 以 及 生存 周 
期 等 一 系列 参数 。 

IKE 经 过 两 个 阶段 为 IPSec 进 行 密 钥 协 商 并 建立 安全 联盟 : 

第 一 阶段 交换 ， 通 信 各 方 彼此 间 建 立 了 一 个 已 通过 身份 验证 和 安全 保护 的 通道 ， 此 阶 
段 的 交换 建立 了 一 个 ISAKMP 安 全 联盟 ， 即 ISAKMP SA (也 可 称 为 IKE SA) o 

第 二 阶段 交换 , ` 用 已 经 建立 的 安全 联盟 (IKE SA) 为 IPSec 协 商 安全 服务 ， 即 为 IPSec 协 
商 具 体 的 安全 联盟 ， 建 立 IPsec SA, IPSec SA 用 于 最 终 的 IP 数 据 安全 传送 。 
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IKE 的 交换 阶段 


IKE SA 协商 























。 KE 使 用 了 两 个 阶段 为 IPsec 进行 密 钥 协商 并 建立 安全 联盟 : 

o 第 一 阶段 ， 通 信 各 方 彼此 间 建 立 了 一 个 已 通过 身份 验证 和 安全 保护 的 隧道 ， 即 
IKE SA。 协 商 模式 包括 主 模式 、 野 变 模 式 。 认 证 方式 包括 预 共 说 密 钥 、 数 字 签名 
方式 、 公 钥 加 密 。 

o 第 二 阶段 ,用 在 第 一 阶段 建立 的 安全 隧道 为 IPSeé 协 商 安全 服务 ， 建 立 IPSec SA. 
IPSec SA 用 于 最 终 的 IP 数 据 安全 传送 。 协 商 模式 河 决 速 模式 。 
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IKE 使 用 了 两 个 阶段 的 ISAKMP。 第 一 阶段 建立 IKE 安 全 联盟 (IKE SA) ， 第 二 阶段 利用 
这 个 既定 的 安全 联盟 ， 为 IPSec 协商 具体 的 安全 联盟 。 

在 RFC2409 (The Internet Key Exchange) 中 规定 ，IKE 第 一 阶段 的 协商 可 以 采用 两 种 
模式 : 主 模式 (Main Mode) MERITA (Aggressive Mode) 。 这 两 种 模式 各 自 做 着 相同 
的 事情 : | 和 验证 无 误 的 通信 信道 (IKE SA) ， 以 及 生成 验证 过 的 密 钥 ， 为 双 
方 的 IKE 通 信 提 供 机 密 性 、 消 息 完 整 性 以 及 消息 源 验证 服务 。IKE 中 定义 的 其 他 所 有 交换 都 
要 求 一 个 验证 过 的 IKE SA 作为 首要 条 件 。 所 以 无 论 主 模式 还 是 野蛮 模式 ， 第 一 阶段 都 必须 
在 其 他 任何 交换 之 前 完成 


IKE 的 工作 流程 如 下 : 
1. 当 一 个 报 文 从 某 接口 外 出 时 ， 如 果 此 接口 应 用 了 IPSec， 会 进行 安全 策略 的 匹配 。 


2. 如 果 找 到 匹配 的 安全 策略 ， 会 查找 相应 的 安全 联盟 。 如 果 安 全 联盟 还 没有 建立 ， 则 触 
发 IKE 进 行 协商 。IKE 首 先 建立 第 一 阶段 的 安全 联盟 ， 即 IKE SA。 


3. 在 第 一 阶段 安全 联盟 的 保护 下 协商 第 二 阶段 的 安全 联盟 ， 即 IPsec SA. 
4. 使 用 IPSeeS 人 A 保护 通讯 数据 。 
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IKE 预 共享 窗 钥 方式 主 模 式 交 换 过 程 





模式 协商 














DH 交换 
Nonce 交 换 
各 类 密 钥 生 成 
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主 模式 被 设计 成 将 密 钥 交 换 信息 与 身份 认证 信息 相 分 离 的 一 种 交换 技术 。 这 种 分 离 保 
证 了 身份 信息 在 传输 过 程 中 的 安全 性 ， 这 是 因为 交换 的 身份 信息 受到 了 加 密 保护 。 
主 模式 总 共 需 要 经 过 三 个 步骤 共 6 条 消息 来 完成 第 一 阶段 的 协商 ， 最 终 建 立 IKE SA。 


这 三 个 步骤 分 别 是 模式 协商 、Diffie-Hellman 交 换 和 nonce 交 换 、 以 及 对 对 方 身份 的 验 

主 模 式 的 特点 包括 身份 保护 以 及 对 ISAKMP 协 商 和 E 力 的 完全 利用 。 其 中 ， 身 份 保护 在 对 

望 隐藏 自己 的 身份 时 显得 兆 为 重要 。 在 我 们 讨论 野蛮 模 式 时 ， 协 商 能 力 的 完全 利用 与 
ee 若 使 用 预 共享 密 钥 方法 验证 。 


在 消息 1、2 发 送 之 前 ss 协商 发 起 者 和 响应 者 必须 计算 产生 自己 的 cookie， 用 于 唯一 标 
识 每 个 单独 的 协商 交换 ，cookie 使 用 源 /目的 IP 地 址 、 随 机 数字 、 日 期 、 和 时 间 进 行 MD5 运 
算得 出 ， 并 且 放 入 消息 1 的 ISAKMP 中 ， 用 以 标识 单独 的 一 个 协商 交换 。 

在 第 一 次 交换 中 ， 需 要 交换 双方 的 cookie 和 SA 载荷 ， 在 SA 载荷 中 携带 需要 协商 的 IKE 
SA 的 各 项 参数 入 主要 包括 IKE 的 散 列 类 型 、 加 密 算法 、 认 证 算法 和 IKE SA 的 协商 时 间 限 制 等 


o 








第 一 次 交换 后 第 二 次 交换 前 ， 通 信 双 方 需要 生成 用 于 产生 Diffie-Hellman 共 享 密 钥 的 DH 
值 。 aH PRUE AER 个 随机 数字 ， 通 过 DH 算 法 对 随机 数字 进行 运算 ， 得 出 一 个 
DH 值 Xa 和 Xb (Xa 是 发 起 放 的 DH 值 ，Xb 是 响应 者 的 DH 值 ) ， 然 后 双方 再 根据 DH 算 法 运算 
得 出 一 个 临时 值 Ni 和 Nr。 


第 二 次 交换 中 ， 双 方 交 换 各 自 的 密 钥 交换 载荷 ( 即 Diffie-Hellman 交 换 ) 以 及 临时 值 载 
fay 〈 即 nonce 交 换 ) 。 其 中 密 钥 交换 载荷 包含 了 Xa 和 Xb， 临 时 值 交 换 包 含 了 Ni 和 Nr。 
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双方 交换 了 临时 值 载荷 Ni 和 Nr 之 后 ， 配 合 事 先 预 置 好 的 预 共 享 密 钥 ， 再 通过 为 随机 函 
数 运算 便 可 产生 一 个 密 钥 SKEYID， 这 个 密 钥 使 后 续 所 有 密 钥 生成 的 基础 。 随 后 ， 通 过 自己 
算出 来 的 DH 值 、 交 换 得 到 的 DH 值 以 及 SKEWID 进 行 运算 便 可 产生 一 个 只 有 双方 才 知 道 的 共 
享 密 钥 SKEYID_d。 此 共享 密 钥 并 不 进行 传输 ， 传 输 的 只 是 是 DH 值 以 及 临时 值 ， 因 此 即使 
第 三 方 得 到 了 这 些 材 料 也 无 法 计算 出 共享 密 钥 。 

在 第 二 次 交换 完成 之 后 , ,双方 所 需 的 计算 材料 都 已 经 交换 完毕 ， 此 时 ， 双 方 就 可 以 将 
所 有 的 密 钥 计 算出 来 ， 并 使 用 该 密 钥 对 随后 的 IKE 消 息 提 供 安 全 保护 。 这 些 密 钥 包 括 : 
SKEYID_a 以 及 SKEYID_e。SKEYID' a 用 来 为 IKE 消 息 提供 完整 性 以 及 数据 源 身份 验证 等 安全 
服务 ;SKEYID_e 则 用 于 对 IKE 消 息 进行 加 密 。 

第 三 次 交换 是 对 标识 载荷 和 散 列 载荷 进行 交换 。 标 识 载荷 包含 了 发 起 者 的 标识 信息 、 
IP 地 址 或 主机 名 ， 散 列 载荷 包含 上 一 过 程 中 产生 的 三 组 密 钥 进行 HASH 运 算得 出 的 值 。 这 两 
个 载荷 通过 SKEYID、e 进 行 加 密 ， 如 果 双 方 的 载荷 相同 ， 那 么 认证 成 功 。IKE 第 一 阶段 主 模 
式 预 共享 密 钥 交换 也 残 完成 了 。 


o0 420 


IKE 野 蛮 模 式 预 共 享 密 钥 协 商 过 程 


Peer 1 Peer 2 
F F 
发 过 X 
起 收 
3] 方 





。 野 但 模式 一 共 需 要 交换 3 个 消息 
o 消息 1 交换 SA 载荷 、 密 钥 材 料 、 和 身份 信息 
o 消息 2 在 交换 消息 1 内 容 的 同时 增加 了 Hash 认 证 载荷 
o 消息 3 是 响应 方 对 发 起 方 的 认证 
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。 IKE 交 换 阶段 第 一 阶段 一 一 野蛮 模式 交换 

从 上 述 主 模式 协商 的 叙述 中 可 以 看 到 在 第 二 次 交换 之 后 便 可 生成 会 话 密 钥 ， 会 话 密 
钥 的 生成 材料 中 包含 了 预 共享 密 钥 。 而 当 一 个 对 等 体 同时 与 多 个 对 等 体 进行 协商 SA 时 ， 则 
需要 为 每 个 对 等 体 设置 一 个 预 共享 密 钥 。 内 了 对 每 个 对 等 体 正确 地 选择 对 应 地 预 共享 密 钥 
， 主 模式 需要 根据 前 面 交换 信息 中 的 恨 地 址 来 区 分 不 同 的 对 等 体 。 


但 是 当 发 起 者 的 IP 地 址 是 动态 分 配 获 得 的 时 人 息 ， 由 于 发 起 者 的 IP 地 址 不 可 能 被 响应 者 
提前 知道 ， 而 且 双 方 都 打算 采用 预 共 享 密 钥 验证 方法 ， 此 时 响应 者 就 无 法 根据 IP 地 址 选择 
对 应 地 预 共享 密 钥 。 野 乙 模 式 就 是 被 用 于 解决 这 个 矛盾 的 。 


与 主 模式 不 同 ， 野 人 蛮 模式 仅 用 3 条 信息 便 完成 了 IKE SA 的 建立 。 由 于 对 消息 数 进行 了 限 
制 ， 野 亦 模 式 同 时 也 限制 也 它 的 协商 能 力 ， 而 且 不 会 提供 身份 保护 。 


在 野蛮 模式 的 交换 过 程 中 ， 发 起 者 会 提供 一 J Diffie-Hellman 公 共 值 、 
nonce 以 及 身份 资料 .> 所 有 这 些 信 息 都 是 随 第 一 条 信息 进行 交换 的 。 作 为 响应 者 ， 则 需要 
oe ei pe ge 
起 者 将 它 的 验证 载荷 在 最 后 一 条 消息 交换 。 

覃 模式 由 于 在 其 第 一 条 信息 中 就 携带 了 身份 信息 ， 因 此 本 身 无 法 对 身份 信息 进行 加 
a 这 就 降低 了 协商 的 安全 性 ， 但 也 因此 不 依赖 IlP 地 址 标识 身份 ， 在 野蛮 模式 下 也 就 
有 了 更 多 灵活 的 应 用 。 
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IKE 主 模式 和 野蛮 模式 区 别 


。 交换 的 消息 : 


o 主 模式 为 6 个 ， 野 蛮 模 式 为 3 个 。 


。 身份 保护 : 


o 主 模式 的 最 后 两 条 消息 有 加 密 ， 可 以 提供 身份 保护 功能 ;而 野蛮 模式 消 
息 集成 度 过 高 ， 因 此 无 身份 保护 功能 
。 对 等 体 标识 : 
o 主 模式 只 能 采用 IP 地 址 方式 标识 对 等 体 ; 而 野蛮 模式 可 以 采用 IP 地 址 方 
式 或 者 Name 方 式 标识 对 等 体 。 
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快速 模式 协商 过 程 


Peer 1 Peer 2 
SAžp 
F Ra, Ni, Xa. a d 
Tte 
xX 

发 iii: ž 

起 a 响应 者 \D 收 

方 方 

WER 


。 快速 模式 一 共 需 要 交换 3 个 消息 
o 消息 1 和 消息 2 中 ， 交 换 SA、KEY、Nonce 和 ID。 用 局 协商 算法 、 保 证 PFS 
以 及 提供 “在 场 证 据 ” 
o 消息 3 是 用 于 验证 响应 者 是 否 可 以 通信 ， 相 当 生 确认 信息 。 
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。 IKE 交 换 阶段 第 二 阶段 一 一 快速 模式 交换 


建立 好 IKE SA 之 后 (无 论 通 过 主 模式 还 是 通过 野蛮 模式 交换 ) ， 便 可 用 它 为 IPsec 生成 
相应 的 SA。IPSec SA 是 通过 快速 模式 交换 来 建立 的 ， 对 快速 模式 交换 来 说 ， 它 是 在 以 前 建 
立 好 的 IKE SA 的 保护 下 完成 的 。 


在 一 次 快速 交换 模式 中 ， 通 信 冯 方 需要 协商 拟定 IPsec 安全 联盟 的 各 项 特征 ， 并 为 其 生 
RAH. IKE SA 保护 快速 模式 交换 的 方法 是 : 对 其 进行 加 密 ， 并 对 消息 进行 验证 。 消 息 的 
验证 是 通过 伪 随 机 函数 来 进行 的 。 来 自 IKE SA 的 SKEYID_a 的 值 作为 一 个 密 钥 ， 对 快速 模式 
交换 的 整个 消息 进行 验证 。 这 种 验证 除了 能 提供 数据 完整 性 保证 之 外 ， 还 能 对 数据 源 的 身 
份 进行 验证 : 在 消息 接收 到 之 后 ， 我 们 知道 它 只 有 可 能 来 自 验证 通过 的 实体 ， 而 且 那 条 消 
息 在 传送 过 程 并 未 发 生 改 变 。 而 通过 加 密 (使 用 SKEYID_e) ， 则 可 保障 交换 的 机 密 性 。 


快速 模式 需要 从 SKEYID_d 状 态 中 衍生 出 用 于 IPsec SA 的 密 钥 。 随 同 交换 的 nonce 以 及 来 
自 IPSec SA 的 SPI 及 协议 一 道 ， 这 个 密 钥 将 在 伪 随 机 函数 中 使 用 ， 这 样 便 可 确保 每 个 SA 都 有 
自己 独一无二 的 密 钥 : 每 个 SA 都 有 一 个 不 同 的 SPI， 所 以 入 方向 SA 的 密 钥 也 会 与 出 方向 SA 
不 同 。 所 有 IPSec 密 钥 都 是 自 相同 的 来 源 衍生 的 ， 所 以 相互 间 都 有 关联 。 假 如 一 名 攻击 者 能 
够 根据 IKE “SA 判断 出 SKEYID_d 的 值 ， 那 么 就 能 非常 容易 地 掌握 自 那 个 SKEYID_d 衍 生出 来 的 
任何 IPSec SA 的 任何 密 钥 。 另 外 ， 还 能 继续 掌握 未 来 将 要 衍生 的 所 有 密 钥 ! 这 显然 是 个 大 
问题 入 所 有 这 些 密 钥 都 不 能 保证 所 谓 的 “完美 向 前 保密 (PFS) ”。 快 速 模式 为 此 专门 提 
供 了 一 个 PFS 选 项 ， 来 满足 这 方面 的 需要 ， 用 户 可 根据 自己 地 安全 需要 选择 是 否 使 用 PFS。 
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为 了 在 快速 模式 交换 中 实现 PFS， 需 要 执行 一 次 额外 的 Diffie-Hellman 交 换 ， 最 终生 成 的 
共享 密 钥 将 在 为 IPsec 生成 密 钥 的 过 程 中 用 到 。 显 然 ， 一 旦 交换 完成 ， 这 个 密 钥 便 不 复 存在 
。 一 旦 完成 ， 它 所 驻 留 的 那个 内 存 位 置 必须 清 零 和 释放 。 从 而 保证 了 密 钥 之 间 地 不 相关 性 


我 们 前 面 将 快速 模式 描述 成 一 种 简单 的 请 求 / 响 应 交换 ， 但 它 的 实际 功用 远 不 止 于 此 
。 发 起 者 可 能 需要 一 个 “在 场 ”证 据 ， 证 明 响应 者 在 线 ， 而 且 已 经 实际 地 处 理子 它 的 初始 
快速 模式 消息 。 为 了 达到 这 个 要 求 ， 响 应 者 需 亚 在 验证 散 列 载荷 中 ， 加 入 交换 的 发 起 者 
nonce 以 及 消息 ID。 这 个 摘要 现在 不 仅 能 保障 消息 的 完整 性 ， 也 能 为 发 起 者 提供 源 验 证 功 
能 ， 另 外 还 能 提供 在 场 证 据 。 

响应 者 也 需要 一 个 在 场 证 据 ， 从 发 起 者 传 来 的 可 能 是 一 条 过 期 的 消息 ， 是 由 不 怀 好 意 
的 人 重播 的 。 这 个 人 可 能 不 知道 消息 的 内 容 ， 但 通过 对 通信 的 分 析 ,8 能够 知道 它 是 一 条 快 
速 模式 消息 。 如 果 重 播 那 条 消息 ， 响 应 者 便 不 但 和 和 全 让 全 种 
“服务 否认 ”攻击 ， 只 是 属于 比较 温和 的 那 种 ， 因 为 响应 者 会 根据 这 条 消息 ， 增 加 不 必要 
的 内 存 及 SA 管理 开销 。 想 要 防范 应 此 类 攻击 ， 需 在 快速 模式 交换 中 增加 第 三 条 消息 。 在 这 条 
消息 中 ， 发 起 者 需要 同时 包括 nonce 和 此 次 交换 的 消息 ID LEMIRE MEIER 
载荷 中 。 这 样 发 起 者 便 可 向 响应 者 证 实 : 自己 是 此 次 交换 的 活动 参与 者 。 


在 前 两 条 消息 中 ， 发 起 者 和 响应 者 都 发 送 了 SA 载 苟 ， 和 主 模 式 、 野 蛮 模 式 一 样 ，SA 载 
荷 是 用 来 协商 各 种 保护 算法 的 。 而 Ni、Nr 以 及 ID 则 是 用 来 提供 “在 场 证 据 ” 的 。Xa 以 及 Xb 
则 是 用 来 生成 新 的 DH 共享 密 钥 ， 保 证 PFS 的 。Xa[ 以 扩 Xb 将 与 IKE 第 一 阶段 生成 的 SKEYID_d 
、Ni、Nr 以 及 SPI 等 信息 共同 生成 最 终 用 于 IPSec 加 密 的 密 钥 。 


最 后 发 起 者 会 发 送 一 条 确认 信息 ,响应 者 收 到 该 信息 后 就 知道 发 起 者 已 经 收 到 了 第 二 
条 消息 。 此 时 IKE 第 二 阶段 结束 。 
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密 钥 保护 


。 密 钥 生存 周期 
o 密 钥 具有 一 定 生存 期 ， 当 生存 期 到 达 时 ， 用 新 的 密 钥 替代 原 有 密 钥 ; 

。 完美 向 前 保密 (PFS) X 
o 定义 两 个 密 钥 之 间 无 任何 关系 

e Diffie-Hellman(DH)28 


o 公共 密 钥 加 密 系统 ， 可 在 一 个 公共 的 、 不 受 安全 保护 通讯 信道 ( 
Internet) 交换 共享 密 钥 生 成 过 程 信息 ; 
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。 密 钥 生 存 周期 


密 钥 生命 周期 设置 决定 何 时 把 旧 密 钥 替 换 成 新 密 钥 。 密 钥 生 命 周 期 决定 了 在 一 定 的 时 
间 段 内 ， 新 旧 密 钥 交 蔡 的 周期 。 例 如 从 在 某 业 务 通信 中 需要 1000 秒 ， 而 我 们 设 定 密 钥 生 命 
周期 为 100 秒 ， 那 么 整个 数据 报 文 传输 期 间 将 会 产生 10 个 密 钥 。 由 于 在 此 业务 通信 周期 内 
使 用 了 10 个 密 钥 ， 即 使 攻击 者 破解 子 某 个 密 钥 对 数据 报 文 进行 解密 处 理 ， 也 无 法 实现 对 所 
有 数据 报 文 的 解密 。 


。 完美 向 前 保密 (PFS) 


完美 向 前 保密 ， 即 每 一 密 钥 鬼 是 “独一无二 ”的 ， 这 样 一 个 密 钥 被 破解 ， 并 不 影响 其 
他 密 钥 的 安全 性 ， 因 为 这 些 密 钥 间 没 有 派生 关系 。 所 以 若 有 攻击 者 破解 了 一 个 密 钥 后 ， 只 
能 访问 受 这 个 密 钥 保 扩 的 所 有 数据 报 文 ， 而 受 其 它 密 钥 保护 的 数据 报 文 还 是 无 法 破解 。 
PFS 是 由 DH 算法 保障 的 。 此 特性 是 通过 在 IKE 阶 段 2 的 协商 中 增加 密 钥 交 换 来 实现 的 。 

e Diffie-Hellman(DH) 组 


DH 算 法 是 一 种 公共 密 钥 算法 。 通 信 双 方 在 不 传送 密 钥 的 情况 下 通过 交换 一 些 数据 ， 计 
算出 共享 的 密 钥 。 加 密 的 前 提 是 交换 加 密 数 据 的 双方 必须 要 有 共享 的 密 钥 。IKE 的 精髓 在 于 
它 永 远 不 在 不 安全 的 网 络 上 直接 传送 密 钥 ， 而 是 通过 一 系列 数据 的 交换 ， 最 终 计 算出 双方 
共享 的 密 钥 。~ 即 使 第 三 方 ( 如 黑客 ) 截获 了 双方 用 于 计算 密 钥 的 所 有 交换 数据 ， 也 不 足以 
计算 出 真正 的 密 钥 。IKE 共 定义 了 5 个 DH 组 ， 组 1 定义 的 密 钥 长 度 为 768 位 ; 组 2 长 度 为 1024 
位 。 密 钥 长 度 越 长 ， 所 生成 的 密 钥 安全 度 也 就 越 高 ， 越 难 被 破译 。DH 组 的 选择 很 重要 ， 因 
方 BH 组 只 在 第 一 阶段 的 SA 协商 中 确定 ， 第 二 阶段 的 协商 不 再 重新 选择 DH 组 ， 两 个 阶段 使 
用 的 是 同一 个 DH 组 ， 因 此 该 DH 组 的 选择 将 影响 所 有 ”会话 密 钥 "的 生成 。 在 协商 过 程 中 ， 
对 等 的 实体 间 应 选择 同一 个 DH 组 ， 即 密 钥 长 度 应 该 相等 。 若 DH 组 不 匹配 ， 将 视 为 协商 失 
败 。 
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IPSec 流量 处 理 
> 入 站 入 站 





。 出 站 与 入 站 
o RARA (Ay) 
o 绕 过 安全 服务 


o 应 用 安全 服务 
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基于 IPsec 业务 应 用 ， 不 管 是 出 站 还 是 人 站 流量 ， 防 火 墙 均 根据 数据 类 型 采取 丢 奔 报 文 
、 绕 过 安全 服务 和 应 用 安全 服务 等 3 方面 进行 处 理 。 


。 出 站 流量 : 防火 墙 首先 查看 出 站 数据 报 允 流量 是 否 属于 定义 的 保护 数据 流 ， 以 判断 将 为 
这 个 报 文 提供 哪些 安全 服务 输出 ， 可 能 有 以 下 几 类 情况 : 


口 


口 











绕 过 安全 服务 : 在 这 类 情况 下 ， 报 文 不 属于 定义 的 保护 数据 流 ， 将 不 应 用 IPSec 策 
略 ， 只 进行 传统 的 |P 转 发 处 理 流 程 ; 

应 用 安全 服务 : 在 这 类 情况 下 ， ， 将 根据 已 建立 的 9A， 对 报 文 应 用 IPsec 策略 
后 进行 转发 。 对 于 尚未 建立 SA 情况 ， 将 调用 IKE， 以 便 完 成 SA 建立 ; 


。 入 站 流量 : tt a 其 将 根据 报 文 是 否 含有 IPSec 头 对 此 报 


文 进 和 


口 


于 以 下 动作 处 理 。 


SARX: 知 报 文 不 含 IPsec 头 ， 且 查看 防火 墙 安 全 转发 策略 后 ， 其 策略 输出 为 丢 
弃 ， 那 父 数据 报 文 就 会 被 丢弃 。 若 策略 输出 为 应 用 IPsec， 但 SA 未 建立 数据 报 文 同 
样 也 会 被 丢弃 





o 绕 过 安全 服务 : 若 报 文 不 含 IPSec 头 ， 则 根据 防火 墙 安 全 转发 策略 将 数据 报 文 进行 


口 
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传统 的 IP 转 发 处 理 流程 ; 


应 用 安全 服务 : 若 报 文 含 IPSec 头 ， 且 已 建立 SA， 那 么 数据 报 文 将 会 被 递交 给 
IPSec 层 进行 处 理 ; 





© 目录 
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4. 封装 安全 载荷 (ESP) 技术 
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点 对 点 IPSec 应 用 场景 


USGA USG B 


Eth 0/0/0 
202.39.169.1/16 


Eth 0/0/1 3 x 


192.168.1.1/24 


Eth 0/0/0 
202.39.160.1/16 









Internet 










Eth 0/0/1 
192.168.0.1/24 


E Pc1 PC2 - 
192.168.0.2/24 192.168.1.2/24 


。 组 网 需求 
o_PC1 与 PC2 之 间 进 行 安全 通信 ， 在 FWA 与 FWB 之 间 使 用 IKE 自 动 协商 建立 安全 通道 


o 在 FWA 和 FWB 上 均 配 置 序 列 号 为 10 的 IKE 提 议 。 
a 为 使 用 pre-shared key 验 证 方法 的 提议 配置 验证 字 。 
o FWA 与 FEWB 均 为 固定 公 网 地 址 
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两 个 网 络 的 公 网 IP 地 址 固定 不 变 ， 且 两 个 网 络 之 间 要 互相 访问 ， 可 建立 IKE 协 商 的 点 到 
点 方式 的 IPsec 隧道 ， 使 两 个 网 络 中 的 设备 都 下 以 主动 发 起 连接 。 


对 于 USG_A 和 UsG_B， 配 置 思路 相同 。 姐 下 : 
1. 完成 接口 基本 配置 、 路 由 配置 ， 并 开启 本 地 策略 和 转发 策略 。 
2. 配置 IKE 协 商 的 第 一 阶段 参数 ， 包 括 IKE 版 本 、 协 商 模式 、 预 共享 密 钥 、 对 端 iP 地 址 等 。 
3. 在 第 一 阶段 基础 上 建立 第 三 阶段 。 
4. 配置 IPsec 安全 策略 ， 么 加 需 保护 的 数据 流 ， 即 网 络 A 和 网 络 B 两 个 网 段 的 通信 数据 。 
5. 将 IPsec 安全 策略 应 用 到 接口 上 。 






IPSec VPN 配 置 关 键 步骤 


EIRP | a omal aam 关联 前 三 | 应 用 到 出 
的 数据 流 ;第 “阶段 | 第 一 阶段 个 步骤 | 接口 | 










配置 IPSec 
是 安全 策略 / 
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[USG_A] acl 3000 


[USG_B] acl 3000 











需要 保护 的 数据 流 


。 配置 高 级 ACL， 定 义 需 要 保护 的 数据 流 


[USG_A-acl-adv-3000] rule permit ip source 192.168.0.0 0.0.0.255 X 
destination 192.168.1.0 0.0.0.255 


[USG_B-acl-adv-3000] rule permit ip source 192.168.1.0 0.0.0255 
destination 192.168.0.0 0.0.0.255 
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A 不 同 应 用 的 数据 流 提 供 lIPSec 保 护 ， 使 用 ACL 定 义 需要 保护 的 数据 流 。 数 
源 地 址 ) 挫 码 、 目 的 地 址 / 掩 码 、IP 报 文 承载 的 协议 号 


据 流 是 一 组 流量 (traffic) 的 集合 ， 








、 源 端 口号 、 目的 端口 号 等 来 规定 。 芯 个 数据 








制 列 表 的 流量 ， 在 逻辑 上 作为 一 个 数据 流 


IPSec 使 用 高 级 ACL (Access Control List， 访 问 控制 列表 ) 来 定义 需要 保护 的 数据 流 。 
高 级 ACL 的 取 值 范围 是 3000-3999 通过 源 IP 地 址 、 Bh ToS, WEE DNE 
、 优 先 级 、ICMP 报 文 类 型 和 ICMR 报 文 码 等 多 
都 可 使 用 高 级 ACL 来 进行 精确 流量 匹配 。 


H ibo 


居 流 由 一 个 ACL 来 定义 ， 所 有 匹配 一 个 访问 控 








个 维度 来 对 进行 流量 匹配 ， 在 大 部 分 功能 中 


步骤 二 : 配置 IKE 


。 PEKEREN 
[USG_A] ike proposal 10 
[USG_A-ike-proposal-10] authentication-method pre-share X 
[USG_A-ike-proposal-10] authentication-algorithm shal 
[USG_A-ike-proposal-10] integrity-algorithm hmac-shal-96 


。 配 置 KE 对 等 体 
[USG_A] ike peerb 
[USG_A-ike-peer-b] ike-proposal 10 
[USG_A-ike-peer-b] remote-address 202.38.169.1 
[USG_A-ike-peer-b] pre-shared-key abcde 
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如 果 选 择 了 pre-shared key 验 证 方法 ， 需 要 为 每 个 对 端 配 置 预 共享 密 钥 。 建 立 安全 连接 
的 两 个 对 端的 预 共 享 密 钥 必 须 一 致 。 

在 野蛮 模式 下 可 以 配置 对 端 |P 地 址 与 对 端 名 称 ， 主 模式 下 只 能 配置 对 端 |P 地 址 。 缺 省 
情况 下 ，IKE 协 商 采 用 主 模式 。 


O 4630 


步骤 三 : IPsec 安全 提议 配置 


。 创建 IPSec 安全 提议 
[USG_A] ipsec proposal tran] 
[USG_A-ipsec-proposal-tranl] encapsulation-mode tunnel X 
[USG_A-ipsec-proposal-tran1] transform esp 
[USG_A-ipsec-proposal-tran1] esp authentication-algorithna md5 


[USG_A-ipsec-proposal-tran1] esp encryption-algorithm des 


。 USG_B 上 的 IPSec 安 全 提议 配置 与 USG_A 相 同 
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在 配置 IPsec 安全 提议 时 ， 可 以 只 需要 创建 一 个 安全 提议 ， 其 它 参 数 采用 缺 省 参数 。 缺 
省 情况 下 ， 安 全 协议 使 用 esp，AH 和 ESP 协 议 采 用 的 验证 算法 为 MD5，ESP 协 议 采 用 的 加 密 
算法 为 DES 加 密 算法 。 





步骤 四 : 配置 IPsec 安全 策略 


。 创建 安全 策略 
[USG_A] ipsec policy map1 10 isakmp 
[USG_A-ipsec-policy-isakmp-map1-10] security acl 3000 
[USG_A-ipsec-policy-isakmp-map1-10] proposal tran1 
[USG_A-ipsec-policy-isakmp-map 1-10] ike-peer b 
[USG_A-ipsec-policy-manual-map 1-10] quit 
[USG_B] ipsec policy map1 10 isakmp 
[USG_B-ipsec-policy-isakmp-map 1-10] security acl 3000 
[USG_B-ipsec-policy-isakmp-map 1-10] proposal tran1 
[USG_B-ipsec-policy-isakmp-map 1-10] ike-peer a 


[USG_B-ipsec-policy-isakmp-map 1-10] quit 
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IRA: 应 用 IPsec 安全 策略 


。 分 别 在 USG_A 和 USG_B 的 接口 上 引用 各 自 的 安全 策略 
[USG_A] interface GigabitEthernet 0/0/2 
[USG_A-GigabitEthernet0/0/2] ipsec policy map1 
[USG_B] interface GigabitEthernet 0/0/2 


[USG_B-GigabitEthernet0/0/2] ipsec policy map1 
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Web 方 式 步 又 一 : 配置 IKE 
MERE peer, 


在 防火 墙 B 上 的 | ame 
配置 应 与 防火 二 = 一 
A 对 应 。 阶段 1 ike_a 


版 本 V1 v2 © V1 and 


协商 模式 © 主 模式 FARR Xx 


本 地 ID 类 型 













远 端 名 称 ike_peer_b 


本 地 名 称 ike_peer_a 








HSS ee 




















对 请 网 关 配 置 方式 
对 端 网 关 VPN 实 例 i 
p 
配置 IkE 对 等 体 对 请 网 关 IP 202.38 .16 . 
远 端 地 址 。 LOTS low 
VPN 实 例 public T Se R 
高 级 一 
应 用 返回 
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配置 KE 阶段 1 和 阶段 2。 
1. 选择 “VPN > IPSec > IKE 协 商 ”。 
2， 单 击 “ 阶 段 1”。 


3， 在 “新 建 阶 段 1” 界 面 中 ， 配 置 阶段 1 参数 ， 如 图 所 示 。 其 中 ，“ 预 共享 密 钥 ” 设 置 为 
abcde. 


在 第 一 阶段 ， 通 信 各 方 彼此 间 建 立 了 一 个 已 通过 身份 验证 和 安全 保护 的 通道 ， 此 阶段 
的 交换 建立 了 一 个 ISAKMP 安 全 联盟 ， i PIISARMP SA RIE SA 在 安全 隧道 的 两 端 
ss 认证 算法 、 加 密 算法 、 预 共享 密 钥 、 完 整 性 算法 、DH 组 等 必须 相同 ， 
否则 协商 不 能 能 通 


配置 对 端 网 关 IP 时 >、 对 端 网 关 IP 地 址 为 对 端 网 关 建 立 隧 道 的 接口 的 IP 地 址 ， 即 IPSec 策 
略 应 用 到 的 接 月 的 IR 地 址 。 
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Web 方 式 步骤 二 : 配置 IKE 高 级 选项 
。 在 阶段 一 “高 级 ”选项 中 ， 指 定 加 密 及 认证 算法 


高 级 


MERE DES-CBC 


DH 组 DH-Group1 

完整 性 算法 HMAC-SHA1 

SA 超时 时 间 86400 *<60-604800> 秒 
DPD 工 作 模 式 — NONE 

NAT 字 越 启动 

对 应 认证 IP 地 址 
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在 阶段 一 中 的 加 密 算法 、 认 证 算法 、 完 整 性 算法 等 参数 的 缺 省 配置 为 图 中 所 示 。 





Web 方 式 步骤 三 : IPSec 安全 提议 配置 
。 在 Web 界 面 下 ，IPSec 安 全 提议 的 配置 在 IKE 第 二 阶段 中 实现 。 


在 “新 建 阶段 2” 
界面 中 ， 配 置 
阶段 2 参数 


实质 上 ，IKE 阶 


段 二 的 内 容 既 
为 IPSec 安 全 提 

议 配 置 中 所 需 ESP 认 证 算法 
要 配置 的 内 容 。 PFs 


SA 时 


ESP 加 密 算 法 


反 向 路 由 注入 











用 返回 











在 IKE 第 二 阶段 交换 中 ， 用 已 经 建立 的 安全 联盟 (IKE SA) 为 IPSec 协 商 安 全 服务 ， 即 为 
IPSec 协 商 具 体 的 安全 联盟 ， 建 立 IPSec SA, IPSec SA 用 于 最 终 的 IP 数 据 安全 传送 。 在 第 一 阶 
段 建 立 后 ， 才 能 建立 第 二 阶段 ， 并 对 第 一 阶段 进行 引用 。 在 安全 隧道 的 两 端 设置 的 安全 协 
议 、 报 文 封装 模式 、 认 证 算法 、 加 密 算法 、PFS 等 必须 相同 ， 否 则 协商 不 能 通过 。 
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Web 方 式 步骤 四 : 定义 保护 的 数据 流 






if VPN 、 IPSec IPSec% `> 
在 IPSec 安 全 策 = 
mache coe | | ees 


数据 a IPSec 第 略 yl- 
WLo 
数据 流 配置 方式 e) 指定 数据 流 L2TRover IP 38b 


源 地 址 192.168.0.0/2 u Feo 


目的 地 址 192.168.1.0/2 5.0 Tə 
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应 用 IPSec 策略 。 
1. 选择 “VPN > IPSec > IPSec 策略 ” 。 
2， 单 击 “ 新 建 ”。 
3， 在 “新 建 IPsec 策略 ”界面 中 ， 配 置 IPsec 策略 参数 


在 命令 行 界 面 的 配置 中 , .首先 使 用 ACL 定 义 需要 保护 的 数据 流 ， 然 后 再 IPsec 安全 策略 
中 应 用 该 ACL。 但 在 Web 界 面 的 配置 中 ， 可 以 直接 在 新 建 IPsec 策略 时 指定 需要 保护 的 数据 


流 。 
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Web 方 式 步 又 五 : 应 用 IPsec 安全 策略 





© VPN > IPSec > IPSec 第 略 


应 用 IPSec 策 略 
IPSec 策 略 列表 it 

Š 到 接口 上 。 

中 新 建 器 删除 OD Bae | | 请 输入 IPSec 生路 名 称 询 


源 地 址 目的 地 址 
192.168.0.0\0.0.0.255 ~ 192.168.1.0\0.0.0.255 
S1 mse 1 页 
配置 应 用 的 接口 


GE0/0/1 
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将 IPsec 策略 与 接口 绑 定 。 

选择 “VPN > IPSec > IPSec 策略 ” 。 

单 击 “policy1 后 的 “应 用 接口 : - NONE*"。 
在 下 拉 列 表 中 选择 GE0/0/2。 

单 击 “ 应 用 ”。 
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Ea 
点 对 多 点 IPSec 应 用 场景 
。 一 个 总 部 到 多 个 分 支 机 构 的 组 网 ， 分 支 节 点 建立 到 总 部 的 IPsec 隧道 。 


PC 2 









BE vce 10.1.2.22 
GEO/0/2 A 
202.38.169.2/24 
USG_A GEO/O/1 
GE0/0/1 =t 202.38.163.1/24 
_ 10.1.1.1/24 202.38.169.1/24  10-1.2.1/24 
a i Internet Pc3 
10.1.3.2/24 


PC 1 GE0/0/2 202.38.170.1/24 


10.1.1.2/24 202.38.163.2/24 





~N 2» 
GE0/0/2 3 
202.38.170.2/24 GEO/OM 


CE “< 
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在 实际 的 应 用 中 ， 经 常 需要 使 用 HUB-Spoke 类 型 的 组 网 ， 即 一 个 总 部 到 多 个 分 支 机 构 
的 组 网 ， 分 支 节点 建立 到 总 部 的 IPsec 隧道 ， 各 个 分 支 机 构 之 间 的 通信 由 总 部 节点 转发 和 控 
制 。 这 样 的 应 用 场景 ， 为 点 对 多 点 的 IRSec 应 用 场景 。 


对 于 场景 中 的 对 于 USG_A、USG_B 和 WSG_C， 配 置 思路 相同 。 如 下 : 
1. 完成 接口 基本 配置 、 路 由 配置 a 并 开启 本 地 策略 和 转发 策略 。 
2. 配置 IKE 协 商 的 第 一 阶段 参数 和 ‰ 包 括 IKE 版 本 、 协 商 模式 、 预 共享 密 钥 、 对 端 iP 地 址 等 。 


3. 其 中 ，USG_A 不 主动 发 起 连接 ， 不 用 指定 对 端 网 关 IP 地 址 。USG_B 和 USG_C 需 要 指定 对 
端 网 关 IP 地 址 为 202.38.163.2/24。 


4. 在 第 一 阶段 基础 竺 建立 第 二 阶段 。 

5. 配置 IPSec 安 全 策略 ,添加 需 保护 的 数据 流 ， 即 总 部 、 分 支 机 构 1 和 分 支 机 构 2 网 段 的 通 
信 数 据 。 

6. 将 IPsec 安全 策略 应 用 到 接口 上 。 


点 到 点 与 点 到 多 点 应 用 场景 的 配置 比较 类 似 ， 各 分 支 机 构 的 配置 大 致 相同 ， 他 们 的 对 
端 设备 都 应 该 为 总 部 的 USG 防 火 墙 。 
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IPSec VPN 配 置 向 导 (Web) 


IPSec VPN 隧 道 配置 向 导 
选择 应 用 场景 (1/5) 


Adel 选择 启用 IPSec 配置 的 场景 。 


IXS 该 Ea 关 到 网 关 中 ,可 配置 
定义 受 保护 数据 流 2 FIP PERBRREAAAAAERS Wy 


配置 加 密 与 认证 


配置 信息 汇总 心 网 关 i ak 采 


FARR 


该 场景 用 来 配置 星 形 结构 中 的 分 支 端 网 关 


该 场 业 用 来 屿 要 E2TP overIPSec 的 场景 中 ， 
MESM TEP, 入 的 网 关 
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进入 Web 配 置 页 面 ， 选 择 菜单 栏 中 “快速 接 入 向 导 一 >IPSec 向 导 ”， 选 择 相应 应 用 
场景 进行 IPSec VPN 配 置 ; 


1) 选择 应 用 场景 ; 

2) 配置 网 络 : 选择 启用 “IPSec 应 用 ”的 网 络 口 ， 且 配置 对 端 网 关 IP; 
3) 配置 定义 爱 保 护 数据 流 ; 

4) 配置 加 密 与 认证 : 一 般 情况 不 可 采用 默认 配置 ， 并 保持 两 端 配置 统一 ; 


0 4730 





IPSec 结果 验证 与 维护 命令 


。 查看 到 两 条 双向 IPSec SA 
<FWA>display ipsec sa brief 


current ipsec sa number: 2 


Src Address Dst Address SPI VPN Protocol Algorithm 


202.39.160.1 202.39.169.1 957073432 O ESP E:DES;A: HMAC-MD5-96; 
202.39.169.1 202.39.160.1 28387440790 ESP E:DES;A‘HMAC-MD5-96; 
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PC1 与 PC2 之 间 数 据 通信 将 触发 KE 协商 和 IPSeEMVPN 建 立 ， 成 功 建立 VPN 后 ，PC1 与 PC2 之 
间 进 行 可 以 相互 访问 . 
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IPSec 结果 验证 与 维护 命令 


e 查看 到 IKE peer 和 IKE sa 的 信息 


<sysname> display ike sa 


current ike sa number: 4 Y 


conn-id peer flag phase vpn 
101 172.16.1.21:2048 RD v2:2 public 
100 172.16.1.21:2048 RD v2:1 public 
17 EEZ RDIST v2:2 v12 

7 CEES RDIST v2:1 v12 
flag meaning 


RD--READY ST--STAYALIVE RL--REPLACED FD--FADING 
TO--TIMEOUT TD--DELETING NEG--NEGOTIATING D--DPD 
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display ike sa 命令 可 以 查看 到 的 信息 包括 :ss 安全 通道 的 标识 符 、 安 全 联盟 的 对 端 |P 地 


址 、VPN 实 例 名 称 、SA 所 属 阶段 、SA 所 属 解释 域 、 此 安全 联盟 的 状态 。 


在 参数 中 ，Peer 表 示 此 安全 联盟 的 对 端的 IP 地 址 。Phase 表 示 此 SA 所 属 阶段 ， 具 体 说 


明 如 下 : 


Phase 1: 建立 安全 通道 进行 通信 的 阶段 ， 此 阶段 建立 SAKMP SA; 

Phase 2: 协商 安全 服务 的 阶段 ， 此 阶段 建立 IPSec SA。 

Flag 显 示 此 安全 联盟 的 状态 其中: 

RD (READY) : 表示 此 SA 已 建立 成 功 ; 

ST (STAYALIVE) : 表示 此 端 是 通道 协商 发 起 方 ; 

RL (REPLACED) : 潜 示 此 通道 已 经 被 新 的 通道 代替 ， 一 段 时 间 后 将 被 删除 ; 

FD (FADING) : 潜 示 此 通道 已 发 生 过 一 次 软 超时 ， 目 前 还 在 使 用 ， 在 硬 超时 时 会 删 
除 此 通道 ; 

TO (TIMEOUT) : 表示 此 SA 在 上 次 keepalive 超 时 发 生 后 还 没有 收 到 keepalive 报 文 
, /如 果 在 下 次 keepalive 超 时 发 生 时 仍 没有 收 到 keepalive 报 文 ， 此 SA 将 被 删除 。 
TD\(DELETING) : 表示 该 条 SA 即将 被 删除 。 


NEG (NEGOTIATING) : 表示 IKE SA 正在 协商 中 ， 是 由 隧道 两 端 设置 的 某 些 参 数 不 一 
致 导致 。 


D (DPD) : 表示 开启 了 DPD 检 测 功 能 ， 并 正在 做 DPD 检 测 。 
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IPSec VPN 配 置 注意 事项 


防火 墙 上 少 须 有 到 这 对 方 和 网 殉 各 的 正确 路 由 gy 


xX 


USG2100 连 接 内 网 的 接口 需要 取消 接口 0 


awe 
主动 触发 IPsec VPN 的 防火 墙 ACL 中 必须 定义 So 
字段 ,推荐 双方 的 ACL 的 互 为 镜像 









配置 Local 和 Untrust 域 间 缺 省 包 过 滤 规 则 
人 允许 IPSec 隧道 两 端 设备 通信 ， 使 其 能 
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IPSec 常见 问题 定位 : 
1. IKE 第 一 阶段 没有 成 功 。 
使 用 display ike peer 和 display ike preposal 检 查 隧道 两 端 ike peer 和 ike proposal 配 置 是 否 
一 致 。 
2. ”IKE 第 二 阶段 没有 成 功 。 
一 般 问 题 都 出 在 ACL 上 ,确认 被 引用 的 ACL 是 否 已 经 被 匹配 到 。 
服务 器 端 模板 方式 下 客户 端 ACL 必 须 指定 源 IP 所 在 网 段 。 
隧道 中 间 是 否 存在 NAT 设 备 ， 是 否 配置 了 NAT 穿 越 。 
3. IPSec SA 创建 没有 成 功 6 
检查 lIPSecpropesal 配 置 是 否 一 致 。 


4. IPSec SA 已 经 建立 但 是 业务 不 通 。 
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总 “5 


IPSec 技术 的 基本 原理 

AH 和 ESP 技 术 

IKE 协 议 的 业务 流程 

e IPSec VPN 的 应 用 场景 及 配置 
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思考 题 


。 IPSec VPN 可 提供 哪些 安全 服务 ? 每 个 安全 服务 的 意义 和 实现 方式 是 什么 ? 

。 IPsec 的 2 个 主要 安全 协议 是 什么 ?它们 之 间 有 什么 区 别 ? 

。 IPSec 的 2 个 主要 封装 模式 是 什么 ?它们 之 间 应 用 场景 有 何 区 别 ? 

。 IKE 可 提供 哪 4 个 安全 机 制 ? 每 个 安全 机 制 的 作用 各 是 什么 ? X 
。 安全 联盟 SA 在 IPsec 中 有 何 重 要 作用 ? 它 是 通过 哪 三 元 组 进行 唯一 标识 ? 

。 |IKE 第 一 阶段 协商 有 哪 2 种 模式 ”它们 之 间 主 要 应 用 在 什么 场景 下 ? 

。 |IKE 第 一 阶段 协商 2 种 模式 的 配置 选项 有 什么 不 同 ? 

。 |IPsec 是 采用 什么 技术 触发 IPsec 隧道 的 建立 ? 

。 在 隧道 模式 下 ， 如 何 配置 私有 网 络 路 由 ? 

。 IPSec 应 用 场景 下 ， 域 间 包 过 滤 如 何 设置 才能 符合 最 小 权限 要 求 ? 请 从 业 


务 流 流 向 进行 分 析 。 
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@ 目标 


。 学 完 本 课程 后 ， 您 将 能 够 : 
o 了 解 SSL VPN 的 技术 原理 
o 熟悉 SVN 产 品 的 基本 功能 和 特性 
o 掌握 SSL VPN 配 置 方法 





Copyright © 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 1 


W Huawei 








© 目录 


1. SSL VPN 概 述 


























2. SSL VPN 技 术 
3. SSL VPN 应 用 场景 分 析 ~ 
Copyright © 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 2 HUAWEI 





O 485 0 


SSL 概 述 


1 
Not Secure i Secure 
1 
1 
i HTTP X 
HTTP i - 
F 1 
Y l SSL 《 
TCP g 
上 1 TCP 
$ i 
1P l i. 
i i 
1 IP 
1 
1 


SSL 在 TCP/IP 协 议 栈 中 的 位 置 
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SSL 是 一 个 安全 协议 ， 为 基于 TCP (Transmission Control Protocol) 的 应 用 层 协 议 提 
供 安全 连接 ，SSL 介 于 TCP/IP 协 议 栈 第 四 层 和 第 七 层 之 间 。SSL 可 以 为 HTTP (Hypertext 
Transfer Protocol) 协议 提供 安全 连接 。5SL 协 议 广 泛 应 用 于 电子 商务 、 网 上 银行 等 领域 
， 为 网 络 上 数据 的 传输 提供 安全 性 保证 。 


安全 套 接 层 (35L) 是 一 种 在 两 人 台 机 器 之 间 提 供 安全 通道 的 协议 。 它 具有 保护 传输 数据 以 
及 识别 通信 机 器 的 功能 。 


到 目前 为 止 ，SSL 协 议 有 三 个 版 本 ， 其 中 3SL2.0 和 3SL3.0 得 到 广泛 的 应 用 ，IETF 基 于 
SSL3.0 推 出 了 TLS1.0 协 议 ( 也 被 成 为 SSL3.1)。 随 着 SSL 协 议 的 不 断 完善 ， 包 括 微软 IE 在 内 的 
仿 来 愈 多 的 浏览 器 支持 SSL, SL 协议 成 为 应 用 最 广泛 的 安全 协议 之 一 。 


SSL VPN 是 以 SSL/TLS 协 议 为 基础 ， 利 用 标准 浏览 器 都 内 置 支持 SSL/TLS 的 现实 优势 ， 对 
其 应 用 功能 进行 扩展 的 新 型 YPN。 除 了 Web 访 问 、TCP/UDP 应 用 之 外 ，SSL VPN 还 能 够 
对 IP 通 信 进 行 保护 oNSSL VPN 通 信和 基于 标准 TCP/UDP， 不 受 NAT 限 制 ， 能 够 穿越 防火 墙 ， 
使 用 户 在 任何 地 方 都 能 够 通过 SSL YPN 虚拟 网 关 访 问 内 网 资源 ， 使 远程 安全 接 入 更 加 灵活 
简单 ， 大 大 降低 了 企业 部 署 维护 VPN 的 费用 。 


SSL YPN 帮助 用 户 使 用 标准 的 浏览 器 ， 就 可 以 访问 企业 的 内 部 应 用 。 这 使 得 移动 办 公 
人 员 只 要 有 一 台 接 入 了 Interneit 的 电脑 ， 就 可 以 随时 随地 进行 安全 的 远程 访问 了 。SSL 
YPN 的 安全 性 、 便 捷 性 和 易 用 性 为 企业 的 移动 办 公 带 来 了 便利 ， 使 移动 员工 的 工作 效率 最 
大 化 。 


要 使 用 SSL 协 议 进行 VPN 通 信 ， 通 信 双 方 必须 支持 SSL。 目 前 常见 的 应 用 一 般 都 支持 
SSL， 如 IE、Netfscape 浏 览 器 、Outlook、Eudora 邮 件 应 用 等 。 


0 486 0 




















SSL 与 IPSec 安全 防护 对 比 


SSL VPN IPSec VPN 
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SS1 与 IPsec 安全 协议 一 样 ， 提 供 加 密 和 身份 验证 。 但 是 ，SSL 协 议 只 对 通信 双方 传输 的 
应 用 数据 进行 加 密 ， 而 不 是 对 从 一 个 主机 到 另 ss 主机 的 所 有 数据 进行 加 密 。 


O 4870 


SSL VPN 安 全 技术 


。 SSL 协 议 从 以 下 方面 确保 了 数据 通信 的 安全 
身份 认证 ~ 
J = 
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机 密 











SSL 协 议 提供 的 安全 技术 : 
1. 主体 的 身份 可 以 通过 公 钥 加 密 算法 来 验证 。 
2. 连接 是 保密 的 ， 在 握手 协议 协商 密 钥 后 ， 用 对 称 密 钥 加 密 数 据 。 
3. 连接 是 可 靠 的 ， 使 用 了 安全 的 散 列 算法 ， 用 带 密 钥 的 消息 认证 码 来 验证 消息 的 完整 性 
。 身份 认证 


在 建立 SSL 连 接 之 前 ， 容 户 端 和 服务 器 之 间 需 要 进行 身份 认证 ， 认 证 采用 数字 证 书 ， 
可 以 是 客户 端 对 服务 器 的 认证 和 也 可 以 是 双方 进行 双向 认证 。 


。 机 密 性 
采用 加 密 算法 对 需要 传输 的 数据 进行 加 密 。 
。 完整 性 


采用 数据 鉴别 算法 ， 验 证 所 接收 的 数据 在 传输 过 程 中 是 否 被 修改 。 











“日 
传统 VPN 存 在 的 问题 
| LTP eS 
* 不 安全 * 不 安全 * 客户 端 管理 费用 高 Q 
“ 拨号 上 网 的 额外 费 “ 无 用 户 认证 + NAT 问题 
用 * 无 应 用 授权 “安全 风险 
“ 拨号 接 入 服务 器 端 。 无 审计 e == ON 
口 限制 。 无 加 密 认证 授权 审 评 
“ 缺少 信息 鉴别 。 无 访问 控制 
* 无 基于 应 用 的 访问 。 造 价 高 
控制 策略 = f 
*。 跨 运营 商 互 通 互 联 
+ 泄漏 内 网 | aoe 
。 适用 于 大 型 企业 内 
网 互联 | 
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IPSec VPN 可 安全 、 稳 定 地 在 两 个 网 络 间 传 输 数 据 ， 并 保证 数据 的 完整 无 缺 ， 适 用 于 处 
里 总 公司 与 分 公司 之 间 的 信息 往来 及 其 他 SitGste-site 应 用 场景 。 


由 于 IPSec 是 基于 网 络 层 的 协议 ， 很 难 穿越 NAT 和 防火 墙 ， 特 别 是 在 接 入 一 些 防护 措施 
较为 严格 的 个 人 网 络 和 公共 计算 机 时 ， 往 往 会 导致 访问 受阻 。 移 动用 户 使 用 IPSec VPN 需 要 
安装 专用 的 客户 端 软件 ， 为 日 益 增 长 的 用 户 群 发 放 、 安 装 、 配 置 、 维 护 客 户 端 软件 已 经 使 
管理 员 不 堪 重 负 。 因 此 ，|IPSec VPN 在 Point-to-Site 远 程 移动 通信 方面 并 不 适用 。 


SSL VPN 是 以 SSUTLS 协议 为 基础 ， 利 用 标准 浏览 器 都 内 置 支持 SSLTLS 的 现实 优势 ， 
对 其 应 用 功能 进行 扩展 的 新 型 YPN。 除 了 web 访问 、TCP/UDP 应 用 之 外 ，SSLVPN 还 能 够 
对 IP 通信 进行 保护 。SSL VPN 通信 基于 标准 TCP/UDP， 不 受 NAT 限制 ， 能 够 穿越 防火 墙 ， 
使 用 户 在 任何 地 方 都 能 够 通过 SSL VPN 虚拟 网 关 代理 访问 内 网 资源 ， 使 得 远程 安全 接 入 更 
加 灵活 简单 ， 大 大 降低 了 企业 部 署 维护 VPN 的 费用 。 


SSL VPN 是 面 合 应 用 的 VPN， 具 有 更 好 的 底层 无 关 性 。 它 的 易 用 性 、 无 客户 端 应 用 很 好 
满足 了 远程 访问 的 需要 ， 保 证 移动 用 户 随时 随地 建立 安全 可 控 的 通信 连接 。 














SSL VPN 技 术 优 势 
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无 客户 端的 便捷 部 署 : Ni 
o 无 需 改 变 内 网 网 络 结构 即 可 实现 快 se 
o 节省 投资 ， 技 术 支 持 和 管理 成 本 
o 不 存在 网 络 地 址 转换 (NAT) 穿 
i 
o 用 户 只 RS ee 一 定 程度 遏制 了 网 络 病毒 的 传播 
。 针对 具体 的 应 用 资源 的 统 编 粒度 访问 控制 
企业 延展 的 效率 
o 任何 时 间 ， 任 何 地 点 ， 任 何 设备 的 灵活 安全 接 入 
o 企业 移动 /远程 员工 可 以 随时 随地 安全 接 入 企业 内 网 
分 支 机 构 安全 连接 ， 合 作 伙伴 业务 流 整 合 ， 用 户 服务 远程 支持 


口 





© 目录 
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SSL 协 议 结构 
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SSL 协 议 结构 可 以 分 为 两 层 : ~ 
e。 底层 为 SSL 记 录 协 议 (SSL record 

FEARN ERNSRETOR EAN 计算 并 尖 加 MAC、 加 密 ， 最 后 把 记录 从 
给 对 方 o & 


& 
e 上 层 为 SSL 握 手 协 议 (SSL rn protocol) 、SSL 密 码 变 化 协议 (SSL change cipher 
spec protocol) 和 SSL 警 告 协议 (SSL alert protocol) 


o ”SSL 握手 协议 : 服务 器 通过 握手 协议 建立 一 个 会 话 。 会 话 包含 一 组 参数 
， 主 要 有 会 话 ID、 对方 的 证 书 、 加 密 算法 列表 (包括 密 钥 交 换算 法 、 数 据 加 密 算 
法 和 MAC 算 法 ) 、 压 缩 算法 以 及 主 密 钥 。SSL 会 话 可 以 被 多 个 连接 共享 ， 以 减少 
会 话 协商 开销 

CI a 

将 






SABE 协商 的 加 密 算法 列表 和 密 钥 进行 保护 和 传输 。 


警告 协议 : 用 来 允许 一 方向 另 一 方 报告 告警 信息 。 消 息 中 包含 告警 的 严重 级 
H 术 。 





。 SSL 协 议 过 程 通 
o 握手 协议 
o 记录 协议 
o 警告 协议 





。 握手 协议 : 
a 


使 用 公 铀 来 生成 共享 密 负 。 
。 记录 协议 : 


SSL 上 层 协议 介绍 
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配置 用 于 客户 机 和 服务 器 之 间 会 话 的 加 密 
pea 次 开始 通信 时 ， 它 们 在 一 个 协议 版 本 上 达成 一 致 ， 











3 个 元 素来 完成 
SSL 协 议 结构 
HTTP X 
~ 
Change Hand ©. 
Secure Cipher aon ion 
Sockets 4 
L 
ayer Record, Layer 
=N 
”cP 
、 
Page 10 w HUAWEI 
参数 。 当 一 个 SSL 客 户 机 和 服 


选择 加 密 算法 和 认证 方式 ， 并 





这 个 协议 用 于 交换 应 用 数据 ss 应 用 程序 消息 被 分 割 成 可 管理 的 数据 块 ， 还 可 以 压缩 ， 
然后 结果 被 加 密 并 传输 。 接 收 方 接收 数据 并 对 它 解 密 
， 校 验 MAC， 解 压 并 重新 组 合 ， 把 结果 提供 给 应 用 程序 协议 。 


并 产生 一 个 MAC (消息 认证 代码 ) ， 


。 警告 协议 : 


这 个 协议 用 和 于 表示 在 什么 时 候 发 生 了 


错误 或 两 个 主机 之 间 的 会 


话 在 什么 时 候 终止。 
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si 
SSL 原 理 一 握手 协议 
= a 。 在 用 SSL 进 行 通信 之 前 ， 首 
ja = 先 要 使 用 SSL 的 HandShake 
Client Server 协议 在 通信 两 端 握手 ， 协 商 
) ClientHello ”一 一 呈 ` 
' 数据 传输 中 要 用 到 的 相关 
0 和 一 ServerHello 
(3) 本 一 Certificate* 全 参数 (如 加 密 算法 ‘N 共享 
OQ < Server Key Exchange* 密 钥 、 产 生 密 钥 所 要 的 材料 
0 — Certificate Request* is R T 
oO gq ServerHelloDone 等 ) , Fx mAs Dts 
(7) Certificate* 一 验证 。 
(8) Client Key Exchange ————— 
(9) Certificate Verify — 
ay ChangeCipherSpec i 
0D Finished — p> 
yy <— Change Cipher Spec 
03) — Finished 
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SSL 握手 协议 第 一 阶段 


。 客户 端 首先 发 Client Hello 消 息 到 服务 器 端 ， 服 务 器 端 收 到 
hello 消 息 后 再 发 Server hello 消 息 回 应 客户 端 。 


> 


BP im 服务 器 


ClientHello 一 


本 Serverhello 
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。 握手 第 一 阶段 : 
建立 起 安全 能 力 属 性 ， 客 户 端 发 送 一 个 client_hello 消 息 ， 包 括 以 下 参数 : 


版 本 : 消息 中 协议 版 本 是 两 个 byte 长 度 分 别 表示 主 次 版 本 。 目 前 SSL 拥 有 的 版 本 
有 SSLv1 SSLV2 以 及 TSLv1 (BESSLV3) 


隐 机 数 :32 位 时 间 税 +28 字 节 随 机 序列 ,用 于 在 后 面 计算 所 有 消息 的 摘要 或 计算 
ra 
会 话 ID : SS 会 话 ID 标识 一 次 会 话 用 ， 可 以 重用 。 


客户 支持 的 密码 算法 列表 (Ciphersuite) : 密 钥 套 件 列表 ， 列 表 中 包含 了 Client 端 
支持 的 所 有 密 钥 套件 。 


客户 支持 的 压缩 方法 列表 : 客户 端 文 持 的 压缩 算法 列表 ， 填 0 表示 空 


当 服 务 器 收 到 包含 以 上 信息 的 client hello 数据 包 后 ， 服 务 器 发 送 server_hello 消 
息 ， 并 包括 以 下 人 参数: 


版 本 六 服务 器 拿 出 client hello 消 息 中 的 版 本 号 ， 再 看 看 自己 支持 的 版 本 列表 ， 
选 个 两 者 都 支持 的 最 高 版 本 号 定 为 这 次 协商 出 来 的 SSL 协 议 使 用 的 版 本 。 


服务 器 产生 的 随机 数 : 此 处 产生 的 随机 数 与 client hello 消 息 中 的 类 似 。 


会 话 IB: 服务 端 检测 到 传 过 来 的 Session ID 是 空 或 者 检索 Session 列表 没有 发 现 
传 过 来 的 session id 就 会 新 建 一 个 。 


服务 器 从 客户 建议 的 密码 算法 中 挑 出 一 套 (Ciphersuit ) 密码 算法 。 
服务 器 从 客户 建议 的 压缩 方法 中 挑 出 一 个 压缩 算法 。 








o 495 


SSL 握手 协议 第 二 阶段 


。 服务 器 向 客户 端 发 送 消息 。 


$ > 


服务 器 


ee Certificate* 
Server Key Exchange* 
<< (Certificate Request* 


D ServerHelloDone 
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第 二 阶段 : 
e Server Certificate 消息 (可 选 ) 


一 般 情 况 下 ， 除 了 会 话 恢复 时 不 需要 发 送 该 消息 ， 在 9SL 握手 的 全 流程 中 ， 都 需要 包 
含 该 消息 。 消 息 包含 一 个 X.509 证 书 $ 证 书 中 包含 公 钥 ， 发 给 客户 端 用 来 验证 签名 或 在 密 
钥 交换 时 候 给 消息 加 密 。 


e Server Key Exchange( 可 选 ) 


根据 之 前 在 hello 信 息 中 包含 的 ciphersuit 信 息 ， 决 定 了 密 钥 交 换 方 式 (例如 RSA 或 者 DH 
) ， 因 此 在 server key exchange 消 息 中 便 会 包含 完成 密 钥 交 换 所 需 的 一 系列 参数 。 


e Certificate Reduest( 可 选 ) 
服务 器 端 发 出 dlientNeert request 消息 ， 要 求 客户 端 发 他 自己 的 证 书 过 来 进行 验证 。 该 


消息 中 包含 seKSr 谢 浆 持 的 证 书 类 型 RSA，DSA ECPSA 等 。。。) 和 server 端 所 信任 的 所 有 证 
书 发 行 机 构 的 DNN《Distinguished Name) 列表 ， 客 户 端 会 用 这 些 信息 来 筛选 证 书 。 


e ServerHello Done. 


该 消息 表示 server 已 经 将 所 有 信息 发 送 完 毕 ， 接 下 来 等 待 client 端 的 消息 。 
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SSL 握手 协议 第 三 阶段 


。 客户 端 收 到 服务 器 发 送 的 一 系列 消息 并 消化 后 ， 发 送 客户 端 
相应 的 消息 给 服务 器 。 
X 


so 


服务 器 


Certificate* 一 
Client Key Exchange —§ ——— 


Certificate Verify* 一 > 
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第 三 阶段 : 
e Client Certificate( 可 选 ): 

如 果 在 第 二 阶段 server 端 要 求 发 送 客户 端 证 书 ， 客 户 端 便 会 在 该 阶段 将 自己 的 证 书 发 
送 过 去 。Server 端 在 之 前 发 送 的 certificate Yequest 消 息 中 包含 了 server 端 所 支持 的 证 书 类 型 
和 CA 列表 ， 因 此 客户 端 会 在 自己 的 证 书 中 选择 满足 这 两 个 条 件 的 第 一 个 证 书 发 送 过 去 。 若 
客户 没有 证 书 ， 则 发 送 一 个 noxCertificate 警 告 。 


e Client Key exchange: 

根据 之 前 从 server 端 收 到 的 随机 数 ， 按 照 不 同 的 密 钥 交 换算 法 ， 算 出 一 个 pre-master， 
发 送 给 server 端 ，seryer 端 收 到 pre-master 算 出 main master. 而 客户 端 当然 也 能 自己 通过 pre- 
master 算 出 main master. 如 此 以 来 双方 就 算出 了 对 称 密 钥 。 


e Certificate verifys( 可 选 ) : 


只 有 在 客户 端 发 送 了 自己 证 书 到 服务 器 端 ， 这 个 消息 oo ee 
， 对 从 第 一 条 消息 以 来 的 所 有 握手 消息 的 HMAC 值 (用 master_secreb) 进 行 签名 。 
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第 四 阶段 : 
。 建立 起 一 


SSL 握手 协议 第 四 阶段 


。 完成 握手 协议 ， 建 立 SSL i 


BP ia 


服务 器 
ChangeCipherSpec 一 
Finished 一 


Change Cipher Spec 


Finished 
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个 安全 的 连接 ， 客 户 发 送 一 


连接 。 


J 
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个 change_cipher_spec 消 息 ， 并 且 把 协商 得 到 的 


CipherSuite 拷 贝 到 当前 连接 的 状态 之 中 。N 然 后 ， 客 户 用 新 的 算法 、 密 钥 参 数 发 送 一 个 


finished 消 息 ， 这 


这 条 消息 可 以 检查 密 钥 交 换 和 认证 过 程 是 否 已 经 成 功 。 其 中 包括 一 


个 校 


验 值 ， 对 所 有 以 来 的 消息 进行 校 验 4 服务 器 同样 发 送 change_cipher_spec 消 息 和 finished 


消息 ° 握手 过 程 
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完成 ， 客户 和 服务 器 可 以 交换 应 用 层 数据 。 





SSL 原 理 一 会 话 恢 复 


Client Server 





(D ClientHello ”一 

a ServerHello ° 
ST ChangeCipherSpec 

D <4— Finished 

(6) ChangeCipherSpec — 

1 Finished —_—_—_—_—_> 
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会 话 恢复 是 指 只 要 客户 端 和 
服务 器 已 经 通信 过 一 次 ,4 它 
们 就 可 以 通过 会 话 恢复 的 方 
式 来 跳 过 整个 握手 阶段 

接 进 行 数据 传输 。 

SSL 采 用 会 话 恢复 的 方式 来 
减少 SSL 握 所 过 程 中 造成 的 
巨大 开销 。 
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此 功能 从 原来 正常 协调 的 13 步 ， 减 少 到 只 需要 7 步 ， 大 大 减少 了 SSL VPN 隧 道 建 立 所 需 


要 的 开销 。 


O 4990 


SSL VPN 功 能 技术 介绍 





USG 系 列 设 备 。 "6 à 
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。 主要 功能 包括 : 
= 领先 的 虚拟 网 关 
o Web 代理 
o 文件 共享 
o 端口 代理 
= 网 络 扩展 
o 用 户 安全 控制 SN 


o 完善 的 日 志 办 能 


P 
( 


虚拟 网 天 








e 
i3 
部 门 A 员 工 

[a 
部 门 B 员 工 


x, 


Nae -------- = ae 


USG 防 火 墙 通过 虚拟 网 关 提 供 SSL VPN 服 务 
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每 个 虚拟 网 关 都 是 独立 可 管理 的 ， 可 以 配置 各 自 的 资源 、 用 户 、 认 证 方式 、 访 问 控制 
规则 以 及 管理 员 等 ; 


当 企业 有 多 个 部 门 时 ， 可 以 为 每 个 部 门 或 者 用 户 群体 分 配 不 同 的 虚拟 网 关 ， 从 而 形成 
完全 隔离 的 访问 体系 。 


0 5010 


Web 代 理 


。 实现 对 内 网 Web 资 源 的 安全 访问 
o Web 代 理 实现 了 无 客户 端的 页 面 访问 
o Web 代 理 有 两 种 实现 方式 : Web-link 和 Web 改 写 


xX 


e 


aaa’ Neen 
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USG 
r 司 WEB 服 务 器 
i> 
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Web 代 理 实 现 了 无 客户 端的 页 面 访问 a 充分 体现 了 SSL VPN 的 易 用 性 ， 是 SSL VPN 区 别 
于 其 他 VPN 的 一 个 重要 功能 。 它 将 远 端 浏 览 器 的 页 面 请 求 ( 采 用 https 协 议 ) 转发 给 web 服 
务 器 ， 然 后 将 服务 器 的 响应 回 传 给 终端 用 户 ， 提 供 细 致 到 URL 的 权限 控制 ， 即 可 控制 到 用 
户 对 某 一 张 具体 页 面 的 访问 。 

Web 代 理 有 两 种 实现 方式 : Webslink 和 和 Web 改写; 

e Web-link 采 用 ActiveX 控 件 方式 ， 对 页 面 进行 转发 ; 


。 Web 改 写 方式 采用 脚本 改写 方式 ， 将 请 求 所 得 页 面 上 的 链接 进行 改写 ， 其 他 网 页 
内 容 不 作 修 改 。 


。 使 用 Web-link 方 式 的 优势 : 
0 无 需 安装 客户 端 ,/ 只 需要 标准 的 浏览 器 便 可 远程 访问 内 网 web 资 源 。 
o 针对 每 个 URL， 为 不 同 的 用 户 分 配 不 同 的 访问 权限 。 
。 实现 过 程 : 
o 远程 接 入 用 户 通过 SVN 网 关 对 企业 内 网 某 一 web 页 面 发 起 访问 请 求 
o 内 网 服务 器 将 请 求 结果 返回 给 SVN ， 由 SVN 将 获取 的 页 面 返回 给 用 户 


o 对 用 户 来 说 ，SVN 相 当 于 web 服 务 器 ， 而 对 内 部 服务 器 来 说 ，SVN 又 充当 了 客户 端 
的 角色 。 


502 0 


MES 


。 提供 对 内 网 文件 系统 的 安全 访问 


件 系统 ; 
o 将 客户 发 起 的 文件 共享 请 求 转换 成 相应 的 协议 格式 ， 与 服务 器 进行 交互 
o 支持 : 


a SMB 协 议 (Windows) 
a NFS 协议 (LINUX) 


文 持 Windows(SMB)/UNIX(NFS) 文 件 





o 采用 协议 转换 技术 ， 无 需 安装 专用 客户 端 ， 直 接 通过 通用 浏览 器 安全 接 入 内 部 文 






pF 
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xX 





文件 共享 的 主要 功能 是 将 不 同 的 系统 服务 器 =( 如 支持 SMB 协 议 的 Windows 系 统 ， 支 持 


NFS 协 议 的 Linux 系 统 ) 的 共享 资源 以 网 页 的 形式 提供 给 用 户 访问 。 
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文件 共享 实现 过 程 


。 以 访问 内 网 Windows 文 件 服务 器 为 例 : 
o ”客户 端 向 内 网 文件 服务 器 发 起 HTTPS 格 式 的 请 求 ， 发 送 到 USG 防 火 墙 ; 
o USG 防 火 墙 将 HTTPS 格 式 的 请 求 报 文 转换 为 SMB 格 式 的 报 文 ; 
o USG 防 火 墙 发 送 SMB 格 式 的 请 求 报 文 给 文件 服务 器 。 xX 
o 文件 服务 器 接受 请 求 报 文 ， 将 请 求 结果 发 送 给 USG 防 火 墙 ， 用 的 是 SMB 报 Ss 
o USG 防 火 墙 将 SMB 应 答 报 文 转换 为 HTTPS 格 式 ; 
o 将 请 求 结果 “(HTTPS 格式 ) 发 送 到 客户 端 ; 


HTTPS 5 }sMB/NFS 
6 
La gno 
客户 端 => NL 文件 服务 器 
os 2 \smeftirs 
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文件 共享 应 用 特点 


所 有 文件 传输 文件 级 的 访问 
采用 SSL 加 密 权限 控制 以 
所 有 文件 接 入 文件 共享 SVN 增 加 额外 的 
需要 认证 访问 控制 P 


Success factors Sa 


就 像 操 作 本 机 文件 系统 一 样 安全 便捷 ! /二 





当然 ，Ctrl+C 等 组 合 键 无 法 使 用 
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文件 共享 作为 文件 服务 器 的 代理 ， 使 客户 可 以 安全 的 访问 内 网 文件 服务 器 。 
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端口 转发 


。 提供 丰富 的 内 网 TCP 应 用 服务 
o 广泛 支持 静态 端口 的 TCP 应 用 
a 单 端口 单 服务 器 (如 : Telnet, SSH, MS RDP，VNC 等 ) xX 
« 单 端口 多 服务 器 (如 : Lotus Notes) 
”多 端口 多 服务 器 (如 : Outlook ) 
o 支持 动态 端口 的 TCP 应 用 
« 动态 端口 (如 : FTP, Oracle) 


o 提供 端口 级 的 访问 控制 
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端口 转发 功能 主要 用 于 C/s 等 不 能 使 用 web 技 术 访 问 的 应 用 。 
。 支持 静态 端口 的 TCP 应 用 


单 端口 单 服务 : 一 个 服务 对 应 一 个 端口 。 例如 : Windows 远 程 桌 面 、Telnet、 
SSH (Secure Shell) . VNC. ERP (Enterprise Resource Planning) ~ SQL ( 
Structured Query Language) > Server, iNotes, OWA (Outlook Web Access) ~ 
BOSS (Business and Operation Support System) 。 


单 端口 多 服务 : 多 个 服务 对 应 一 个 端口 。 例如 : Notes (多 个 数据 库 服 务 器 对 应 
一 个 端口 ) 。 

多 端口 单 服务 :一 个 服务 对 应 多 个 端口 。 例如 : POP3 (Post Office Protocol 3) 
Email (SMTR_ (Simple Message Transfer Protocol) : 25、POP3: 110 等 ) 。 


。 支持 动态 端口 的 TCP 应 用 


O 506 0 


BAI ARS: 一 个 服务 对 应 多 个 动态 变化 的 端口 。 例如 : FTP 被 动 模 式 、 
Oracle. Manager。 


端口 转发 实现 原理 


SERVER 


提供 对 内 网 TCP 应 TCP aÑ 


应 用 请 求 | 用 的 安全 接 入 1 


CLIENT 
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用 户 点 击 客户 端 页 面 “启动 端口 转发 功能 ” 按钮 ， 自 动 安 装运 行 一 个 Windows 
ActiveX 控 件 ， 获 取 到 管理 端 配置 的 端口 转发 资源 列表 〈 目 的 服务 器 IP、 端 口 ) 。 控 件 将 客 
户 端 发 起 的 TCP 报 文 与 资源 列表 进行 比 对 ， 消 发 现 报 文 的 目的 IP/Port 与 资源 列表 中 的 表 项 
匹配 ， 则 截获 报 文 ， 开 启 侦 听 端口 〈 目 的 端口 经 过 特定 算法 得 出 ) ， 并 将 目的 地 址 改写 为 
回环 地 址 ， 转 发 到 侦 听 端口 。 


对 该 报 文 加 密封 装 ， 添 加 私有 报 文 头 ， 将 目的 地 址 设 为 SVN 的 IP 地 址 ， 经 由 侦 听 端口 
发 往 SVN。 


SVN 收 到 报 文 进 行 解密 ， 发 往 真实 的 目的 服务 器 端口 。 
SVN 收 到 服务 器 的 响应 后 ， 再 加 密封 装 回 传 给 用 户 终端 的 侦 听 端口 。 
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端口 转发 应 用 特点 








W 实现 对 内 网 TCP 应 用 的 广泛 支持 


端 PA zamn Outlook, Notes, FTP, SSH% 





口 E 所 有 数据 流 都 经 过 加 密 认证 





转 对 用 户 进 行 统一 的 授权 、 认 证 


A 提供 对 TCP 应 用 的 访问 控制 





发 


F 只 需 标准 浏览 器 ， 不 用 安装 客户 端 
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网 络 扩展 


。 实现 对 内 网 所 有 复杂 应 用 的 全 网 访问 


实现 方式 : X 
a ActiveX 控 件 ; 

。 专用 客户 端 软件 : 一 次 安装 ， 零 配置 ; 

o 访问 方式 

= 全 路 由 模式 (Full Tunnel) 

。 分 离 模式 (Split Tunnel ) 

= 手动 模式 (Manual Tunnel ) 
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使 用 网 络 扩展 功能 后 ， 远 程 客户 端 将 获得 内 网 IP 地 址 ， 就 像 处 于 内 网 一 样 ， 可 以 随意 

访问 任意 内 网 资源 。 同 时 对 其 他 正常 操作 不 作 影 响 ， 可 以 访问 Internet 和 本 地 子 网 。 
管理 员 可 以 根据 不 同 的 应 用 场景 配置 相应 的 访问 方式 : 

。 分 离 模式 : 用 户 可 以 访问 远 端 企业 内 网 (通过 虚拟 网 卡 ) 和 本 地 局 域 网 (通过 实际 网 
卡 ) ， 不 能 访问 Internet。 

。 全 路 由 模式 : 用 户 只 人 允许 访问 远 端 企业 内 网 (通过 虚拟 网 卡 ) ， 不 能 访问 Internet 和 本 
地 局 域 网 。 

。 手动 模式 : 用 户 可 以 访问 远 端 企业 内 网 特定 网 段 的 资源 (通过 虚拟 网 卡 ) ， 对 其 
Internet 和 本 地 局 域 网 的 访问 不 受 影响 (通过 实际 网 卡 ) 。 网 段 冲 突 时 优先 访问 远 端 
业内 网 。 





它 
企 
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网 络 扩展 实现 过 程 


。 在 客户 端 下 载 控件 ， 安 装 虚 拟 网 卡 ， 虚 拟 网 卡 获得 一 个 可 被 内 网 识别 的 IP 地 址 ; 

。 客户 端 发 起 基于 IP 的 内 网 应 用 ， 虚 拟 网 关 截 获 报 文 进行 封装 加 密 ， 发 往 USG 防 火 墙 ; 
。 USG 防 火 墙 对 报 文 解密 后 发 往 内 网 服务 器 ; 

° WMEZRNHHRXLAFUSCH I, USCR ANTE, AEAN 


Client Server 


F 10.1.1.30 9.1.1.30 94.1.10 
q As Ss === 
ee RIP. 目的 IP 


源 IP 









原始 报 文 
目的 IP 








Copyright © 2010 Huawei Technologies Co., Ltd. All rights reseredd. iy Page 27 w HUAWEI 


用 户 使 用 SSL 网 络 扩 展 功能 前 ， 首 先 需 要 在 用 户 本 地 终端 上 安装 虚拟 网 卡 。 虚 拟 网 卡 
可 以 通过 以 下 方式 安装 : 
o 本 地 终端 上 安装 SVN 的 网 络 扩展 客户 端 。 
o 登录 虚拟 网 关 的 Web 客 户 端 页 面 ,9 启动 网 络 扩展 功能 。 


启动 网 络 扩展 服务 后 ， 虚 拟 网 所 会 自动 向 SVN 申 请 一 个 虚拟 |P 地 址 。SVN 支 持 通过 以 下 
方式 给 虚拟 网 卡 分 配 IP 地 址 : 


e DHCP 


在 SVN 上 配置 企业 内 网 的 DHCP 服 务 器 IP 地 址 。 当 SVN 接 收 到 申请 IP 地 址 的 请 求 时 ， 向 
内 网 的 DHCP 服 务 器 请 求 IP 地 址 ， 然 后 分 配给 客户 端 。 


。 地 址 池 

企业 划 出 一 段 连 续 、 未 使 用 的 |P 地 址 ， 用 作 分 配给 SVN 用 户 的 虚拟 地 址 ， 在 SVN 上 进行 
配置 。IP 地 址 可 以 随机 分 配 ， 也 可 以 将 用 户 账号 与 某 一 IP 地 址 绑 定 ， 则 每 次 该 用 户 启用 网 
络 扩展 功能 时 ， 对 用 的 都 是 同一 内 网 |P 地 址 。 如 果 绑 定 的 地 址 包含 在 地 址 池内 ， 则 该 地 址 
就 被 锁定 了 , ` 涉 会 分 配给 另 一 个 用 户 。 
。 外 部 认证 授权 服务 器 

与 外 部 认证 授权 服务 器 配合 使 用 ， 当 遇 到 申请 iP 地址 的 请 求 时 ，SVN 向 外 部 认证 授权 
服务 器 请 求 IP 地 址 ， 然 后 分 配给 客户 端 。 
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Full Tunnel 一 全 路 由 模式 


\ 总 部 内 网 资源 xX 





< 一 SSL VPN 





全 通道 方式 ,所 有 流 
量 都 流向 网 关 
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通道 模式 决定 了 客户 端 发 送 报 文 的 路 由 。 网 络 扩展 功能 支持 三 种 通道 模式 : 分 离 模式 
、 全 通道 模式 、 手 动 模式 。 

全 通道 模式 : 完全 屏蔽 客户 端 原先 可 以 访问 的 网 络 资源 。 除 了 访问 远程 企业 内 网 资源 
外 ， 其 余 网 络 资源 均 不 可 访问 。 
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Split Tunnel 一 分 离 模 式 


LAN, ) 总 部 内 网 资源 xX 










分 离 通道 方式 ， 除了 
可 以 访问 内 网 ， 还 能 
够 访问 客户 端 所 在 的 
本 地 子 网 。 


< 一 > SSL VPN 
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分 离 模式 : 除了 客户 端 原 先 可 以 访问 的 同一 网 段 的 资源 ， 公 网 等 其 他 资源 均 被 屏蔽 。 
这 是 因为 公 网 等 不 同 网 段 资源 通过 虚拟 网 卡 转发 时 ， 由 于 源 IP 地 址 被 赋值 为 虚拟 中 地 址 ， 
所 以 回复 数据 往往 找 不 到 正确 的 路 由 而 不 能 通信 成 功 。 
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Manual Tunnel 一 手动 模式 


G-?gle BM 


总 部 内 网 资源 





4 一 > SSE VPM i 











f x 
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Baa & 


手动 模式 : 除了 增加 对 远程 企业 内 网 的 访问 极限 外 ， 不 影响 客户 端 原先 可 访问 的 网 络 
资源 ， 除 非 网 络 资源 与 远程 企业 内 网 冲突 。 


0 5139 


认证 授权 


。 认证 授权 : 
o VPNDB 认证 授权 
o 第 三 方 服务 器 认证 授权 (Radius. LDAP. AD, SecurlD) K 
o 数字 证 书 认 证 (X.509/ USB Key + X.509) 
o 短信 辅助 认证 


Ss 认证 服务 器 SAR BB 


远程 访问 _ 












Internet — 
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VPNDB 用 于 本 地 VPN 数据 库 认 证 与 授权 , 虚拟 网 关 管理 员 通 过 用 户 和 组 管理 来 维护 
VPNDB。 本 地 用 户 和 组 管理 用 于 维护 VPNDB。 份 组 易于 对 用 户 进行 管理 ， 可 以 按 组 对 用 户 
集体 授权 。 

SVN 支 持 通 过 RADIUS (Remote Authentication Dial In User Service) 协议 进行 远 端 认证 
， 由 网 络 接 入 服务 器 NAS (NetworKSAccess Server) 作 Client 端 ， 与 RADIUS 服务 器 通信 。 
对 于 RADIUS 协议 ， 可 以 采用 标准 RABIUS 协议 ， 与 iTELLIN/CAMS 等 设备 配合 完成 认证 。 


SVN 支 持 通 过 LDAP (Lightweight Directory Access Protocol) 协议 进行 远 端 认 证 。 


0 540 


管理 
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。 系统 日 志 O 


系统 重启 记录 ， 网 口 状态 记录 ， 温 wagon 导入 导出 记录 ， 系 统管 理 员 管理 ， 虚 
拟 网 关 管 理 等 ; N 
e 用 户 日 志 

用 户 登 录 成 功 、 失 败 记录 ， es 用 户 修改 密码 ， 业 务 日 志 ; 


。 虚拟 网 关 管理 员 
Rs 录 失 败 记录 ， 虚 拟 网 关 配 置 保存 ， 用 户 管理 ， 安 全 





管理 等 ; 
。 Ase = 

pois ay ， 文 本 格式 的 日 志 导 出 ， 命 令 行 日 志文 件 导 出 等 ; 
° ee aay 





日 志 分 级 查询 ， 命 令 行 日 志 查询 。 
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SSL VPN 功 能 总 结 

























ij lia = Web 
Web 访 问 Sues Web 代 理 ~ 
SSL VPN ER X 
文件 访问 ETET i 
(及 
Internet = ET 
Notes. Telnet” Email e 
等 TCP 应 用 为 e 
IPSec VPN 
网 络 扩展 ° 
= ERP 
其 他 复杂 业务 ee IPSE VPN $ 
es 
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SVN 功 能 能 总 结 : 
e Web 代 理 
e 文件 共享 
。 端口 转发 
。 网 络 扩 展 
e IPSec 隧 道 


。 多 种 认证 方式 

。 虚拟 网 关 技 术 

。 细 粒 度 访问 控制 

。 丰富 路 由 特性 (RIP/OSPP) 
e VLAN 组 网 

。 双 机 热 备 

© 双 电 源 供电 

。< 完 善 的 日 志 、 审 计 功 能 


o 5160 





© 目录 


1. SSL VPN 概 述 


2. SSL VPN 技 术 


3. SSL VPN 应 用 场景 分 析 xX 
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OH 5170 








HEE 

所 一 区 ”标准 的 内 部 连接 

。 SSL VPN 网 关 多 部 署 于 企业 的 网 络 出 入 口 ， 应 用 服务 器 之 前 ， 介 于 远程 用 
户 和 服务 器 之 间 ， 控 制 两 者 的 通信 。 
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Midie A PSA S BS Z EMRA, MeSSL VPN 网关 (如 USG 防 火 墙 ) 到 服务 器 
之 间 的 数据 通信 被 认为 是 企业 网 内 部 的 % 安 全 的 ， 采 用 标准 的 TCP/IP 协 议 进 行 数据 通信 ; 
而 在 用 户 到 SSL VPN 网 关 之 间 的 链 路 ,数据 在 公 网 上 传输 ， 受 到 各 种 安全 风险 的 威胁 ， 
此 需要 对 数据 进行 SSL 加 密 ， 以 防止 数据 遭 到 非法 的 窃听 和 自 改 ， 保 证 传输 数据 的 安全 性 
和 完整 性 。 

使 用 该 部 署 方案 ， 在 企业 出 入 同族 置 SSL VPN 安全 接 入 网 关 (如 USG 防 火 墙 ) 实现 身 
份 认证 和 安全 通讯 。 网 关 可 以 采用 多 种 认证 方式 和 基于 URL 的 访问 控制 ， 帮 助 用 户 安全 便 
捷 接 入 企业 网 络 及 安全 使 用 内 网 资源 。 用 户 端 浏览 器 与 华为 SSL VPN 网 关 之 间 实现 SSL 安 全 
通道 ， 确 保 远 程 接 入 访问 的 安全 。 


0 518 [ 








SSL VPN 单 臂 组 网 模式 应 用 场景 分 析 


。 单 辟 和 双 辟 组 网 的 方式 ， 多 用 于 SVN 设 备 ，SVN 单 壁挂 接 在 防火 墙 、 路 由 器 
或 交换 机 上 ， 内 网 和 Internet 都 通过 这 个 网 口 与 SVN 进 行 通信 ， 这 种 模式 称 


为 单 臂 模式 。 = 
合作 伙伴 a À 4 
4 





Se WMA HE 
二 = 和 标准 的 内 部 连接 
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在 此 类 组 网 环境 中 ，SVN 可 以 直接 挂 接 到 企业 网 络 出 入 口 防火 墙 上 ， 也 可 以 挂 接 到 路 
由 器 或 者 交换 机 上 外 网 和 内 网 的 数据 报 文 从 全 个 网 口 进 出 ， 组 网 时 只 用 到 SVN 的 一 个 接口 

在 网 络 规划 时 ，SVN 的 接口 IP 为 内 网 IP 地 址 ， 此 地 址 需要 能 与 所 有 被 访问 需求 的 服务 器 
路 由 可 达 。 防 火 墙 上 需 配 置 nat server, 9 将 SVN 的 地 址 映射 到 防火 墙 的 某 一 公 网 IP 上 。 也 可 
以 只 映射 部 分 端口 ， 如 443 。 如 果 外 网 用 户 有 管理 SVN 的 需求 ， 还 需要 映射 SSH、Telnet 等 
端口 。 


o 5190 


SSL VPN 双 辟 组 网 模式 应 用 场景 分 析 


。 SVN 双 壁 挂 接 在 防火 墙 、 路 由 器 或 交换 机 上 。 内 网 和 Internet 都 通过 不 同 的 
网 口 与 SVN 进 行 通信 ， 这 种 模式 称 为 双 辟 模式 。 








合作 伙伴 


移动 办 公 


Se 川 窗 的 内 外 连接 
See 标准 的 内 部 连接 
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在 此 类 组 网 环境 中 ，SNV 使 用 两 个 不 同 的 网 由 连接 外 网 与 内 网 ， 这 种 组 网 方式 下 ， 具 
有 清晰 的 内 网 、 外 网 概念 ; 无 需 做 额外 的 配置 s 外 网 口 对 应 虚拟 网 关 IP， 内 网 口 配置 内 网 
管理 IP。 


虚拟 网 关 IP 不 一 定 需要 过 NAT 转 换 ， 具 要 外 网 用 户 能 够 访问 此 虚拟 网 关 IP 地 址 即 可 。 内 
外 网 接口 没有 特定 的 物理 接口 ， 任 何 二 个 物理 接口 都 可 以 作为 内 网 或 外 网 接口 。 

图 中 路 由 器 和 交换 机 之 间 处 于 连接 状态 。 这 是 因为 客户 网 络 中 可 能 有 部 分 应 用 不 需要 
经 过 SSL 加 密 ， 而 是 直接 通过 防火 墙 访问 外 网 。 这 时 就 需要 在 交换 机 和 路 由 器 上 配置 策略 
路 由 ， 需 要 建立 SSL VPN 的 流量 就 转发 到 SVN 上 ， 而 普通 的 应 用 就 直接 通过 防火 墙 访问 外 网 


o 








0 520 0 
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以 上 应 用 为 SSL VPN 的 运营 模式 。 通 过 把 SSESYPN 设 备 划分 为 数 个 虚拟 设备 ， 每 个 虚拟 
设备 有 自己 的 管理 员 及 访问 策略 ， 依 次 来 降低 运营 商 的 资金 投入 ， 做 到 设备 使 用 率 最 大 化 


o 


o 5210 


在 SVN 上 局 用 Web 网 党 功能 


。 配置 步骤 : 
o 配置 接口 IP 地 址 
o 绑 定 Web 网 管 和 IP 地 址 ， 并 绑 ee 
定 使 用 的 端口 。 boar xX 
EZ) 
8 运行 网 络 济 览 器 程序 在 地 址 Pi A G START EEE, aa 
栏 键 入 SVN Web 网 管 的 IP 地 址 人 有 IBA USS ev OOM EMTALA USE we . | 
, BCA “https://x.x.x.x:port” 
， 回 车 ， 进 入 Web 网 管 登 陆 页 
面 。 
o 在 Web 网 管 登录 页 面 中 输入 用 
户 名 和 密码 ， 登 录 SVN。 





welcome 
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如 果 绑 定 Web 网 管 和 IP 地 址 时 设置 的 端口 号 为 443 以 外 的 端口 号 ， 那 么 在 下 次 登录 Web 
网 管 输入 IP 地 址 时 ， 请 在 IP 地 址 后 面 加 上 A“: 端 自 号 ”， 如 “https:/x.x.X.Xx:port" ， 否 则 将 不 
能 登录 Web 网 管 。 


如 果 虚 拟 网 关 使 用 的 IP 地 址 与 Web 网 管 相同 ， 则 需要 更 改 Web 网 管 所 使 用 的 端口 ， 否 
则 无 法 完成 虚拟 网 管 的 配置 。 


SVN 的 初始 用 户 名 、 密 码 为 CE _ admin、Admin@123。 


0 2522 [ 


虚拟 网 天 配置 及 相关 参数 


。 登录 到 USG 防 火 墙 的 Web 管 理 页 面 后 ， 选 择 “VPN > SSL VPN > 虚拟 
网 关 管 理 ”， 新 建 虚拟 网 关 。 


_ Secospace USG2210 





添加 IP 地 址 





O 局 用 HTTP 重 定向 服务 


















on) Nes ) 
o 虚 所 网关 列表 
o zite 
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在 USG 防 火 墙 上 配置 SSL VPN 需 要 申请 购买 相应 的 license。 在 系统 > 维护 >License 管 理 中 
可 查看 到 license 状 态 。 


虚拟 网 关 按照 IP 地 址 和 域名 的 分 配 情况 分 为 两 种 : 
。 独占 型 
独占 型 虚拟 网 关 独 占 IP 地 址 和 域名 。 客 户 可 以 通过 域名 或 者 IP 地 址 访问 独占 型 虚拟 网 


多 个 共享 型 虚拟 网 关 共 享 同一 个 IP 地 址 ， 具 有 相同 的 父 域名 ， 通 过 子 域名 来 区 分 各 虚 
拟 网 天。 客户 只 能 通过 域名 访问 共享 型 虚拟 网 关 。 


最 大 并 发 用 户 数 : 同时 接 入 虚拟 网 关 的 用 户 数 。 
最 大 用 户 数 : VPNDB 


o 5230 


Web 代 理 访 问 实例 〈 一 ) 
。 在 “虚拟 网 关 列 表 ” 导 航 树 上 单 击 “Web 代 理 ”， 进 入 配置 页 面 。 


虚拟 网 关 列 表 Web 代 理 


5 S 虚拟 同 关 列表 E weba 
5 test 回 启用 Web 代 理 功能 
o Pami 
o SSRS B Web 代 理 资源 管理 


o 认证 授权 配置 Web-link 资 源 ”资源 组 
9 策略 配置 


pital Be DFs u] ë ë ë | FHWA 
o ABERE = i (i atl a 
o Web 代 理 > N hi 

o 文件 共享 

o MOR Test 
o 网络 扩展 

eis [rtpsiwewtesbcom 及 各 127 人 1 字符 ， 示 nt 
9 TRER pe 

虚拟 网 关 准 护 
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如 果 USG 上 配置 了 DNS 服务 器 (下 面 的 教材 中 会 介绍 ) ，URL 处 可 配置 网 址 ， 不 必 一 定 


是 IP。 
在 配置 Web 代 理 的 基本 功能 之 前 ， 需 要 准备 以 下 数据 : 
1. Web 资 源 的 名 称 。 
2. Web 资 源 的 URL 地 址 。 
3. Web 资 源 的 描述 信息 。 


o 5240 


Web 代 理 访问 实例 〈 二 ) 


。 点 击 某 一 链接 ， 能 够 看 到 该 链接 对 应 的 web 页 面 : 


vV Web 代 理 


3 tech 


@ Finance X 
= 


information [OV Ender Ge Arent © Microsete Internet Explor 





se mp ae ema) TAG wma 
全 Huawei Enterprise ~ 





Index of /test 1 














“fr nee Dusesiory 
| TH Wt We ener ~ wae! 
:a rh [eo aw eon saw IAD nw 人 
s. Pme iea © oe: NOUS 
Jam 
DIS intametate pa paced 
T o PEDIS tame mm Baret 
访问 子 页 面 让 
| 
a a > 
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使 用 远程 客户 端 通过 SSL VPN 联 道 登 录 到 USGS SSL VPN 上 ， 会 出 现 以 上 页 面 。 在 点 击 链 
接 前 ， 需 要 先 确认 Web 服 务 器 可 达 并 已 配置 完成 。 通 过 SSL VPN 建 立 的 SSL VPN 隧 道 ， 远 程 
客户 端 就 像 在 本 地 内 网 一 下 访问 内 网 Web 资 源 。 
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文件 共享 访问 实例 (一) 


。 在 “虚拟 网 关 列表 ”导航 树 上 单 击 “ 文 件 共享 ”， 进 入 配置 页 面 。 


© VPN > SSLVPN > MAXAR 












日 S 虚拟 网 列表 E 文件 共享 
Sj test 

o 网络 配置 回 启用 文件 共享 功能 

o ssL 了 村 S 文件 共享 资源 各 理 一 - 
o 认证 授权 配 轩 ane fe se lf | 口子 中 查询 mae [DFA 
o NERE . i i 

spz: 资源 路径 ET 

mi \ 


Hm DN È 


9 VPNDB 配 置 
o 外 部 组 配置 

© Web 代 理 

9 文件 共享 > 
© 端口 转发 

9 网 络 扩展 

9 Ase 

o TRER i [Test_filesharing ] 

o 虚拟 网 关 维护 i 192.168.17.5/shared + 
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如 果 配 置 了 DNS 服务 器 (下 面 的 教材 由 会 介绍 ，URL 处 可 配置 网 址 ， 不 必 一 定 是 IP。 
“类 型 ”分 为 SMB 和 NFS 两 种 ，SMB 对 应 Wihdows 主 机 ，NFS 对 应 Linux 主 机 。 
在 配置 文件 共享 的 基本 功能 之 前 ， 需 要 准备 以 下 数据 : 

1. 文件 共享 资源 的 名 称 。 

2. 文件 共享 资源 的 路 径 。 

3. 文件 共享 资源 的 类 型 。 

4. 文件 共享 资源 的 描述 信息 (可 选 ) 。 
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文件 共享 应 用 实例 二 ) 


。 在 客户 端 页 面 上 看 到 的 文件 共享 资源 列表 : 























vV ”文件 共享 
P picture 
P (ebook X 
= FP 
。 点 击 文件 共享 列表 中 的 某 一 资源 ， 需 要 输入 用 户 名 、 密 码 、 域 ， 提 区 文件 
服务 器 进行 用 户 认证 : 
当前 用 户 : TestUser FRNA: 2013-07-25 11:14:55 
welcome 
文件 共享 登录 
RPS: 
s: 
az 
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登录 到 SSL VPN 网 关上 后 ， 会 出 现 以 上 页 面 s 和 在 点 击 链接 前 ， 需 要 先 确 认 文 件 服务 器 
可 达 并 已 配置 完成 。 


这 里 输入 的 用 户 名 密码 与 我 们 平时 访问 同一 局 域 网 内 某 一 共享 主机 时 输入 的 用 户 名 密 
码 一 样 。 如 果 不 想 输入 用 户 名 密码 ， 可 以 在 文件 共享 服务 器 上 设置 权限 。 


0 5270 








文件 共享 应 用 举例 《三 ) 


。 看 到 该 共享 文件 夹 下 的 资源 列表 












文件 共享 应 用 举例 《四 ) 
。 浏 览 文件 : 


区 把 打 开 或 保存 此 文件 咖 7 
BM AS paf 


BAB. Adobe Acrobat 7.0 Docanant, 2 SB 
Mo httpe //8. 1.4. 222/protecad tra /Dornload 


a Cass] OE 
o HppEENRN 














他 重复 产生 的 进度 灾难 
已 网 外 科 手 术 队伍 (The surge 
问题 























Q E 


端口 转发 


。 提供 丰富 的 内 网 TCP 应 用 服务 

o 广泛 支持 静态 端口 的 TCP 应 用 
。 单 端口 单 服务 器 (如 : Telnet，SSH，MS RDP，VNC 等 ) "4 
» 单 端口 多 服务 器 (40: Lotus Notes) 
= 多 端口 多 服务 器 (如 : Outlook ) 

o 支持 动态 端口 的 TCP 应 用 
a 动态 端口 (如 : FTP 被 动 模式 ，Oracle) 

o 提供 端口 级 的 访问 控制 
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端口 转发 业务 是 提供 基于 TCP 的 应 用 程序 的 安全 接 入 ， 是 一 种 非 Web 的 应 用 方式 。 如 
: Telnet、 远 程 桌 面 、FTP、Email 等 服务 。 
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端口 转发 应 用 举例 (一) 


。 在 “虚拟 网 关 列表 ”导航 树 上 单 击 “ 端 口 转发 ”， 进 入 配置 页 面 。 














E ante 
TERRORI 
口 客 户 端 自动 启用 

口 保持 连接 
同 滨 口 竺 发 资源 各 理 








o VPNDEME 置 资源 名 [OO Fi 
o 外 部 组 配置 Engs V ee set 
o Web 代 理 端口 FREE 5535 





o 虚拟 网 关 维 护 
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“主机 地 址 类 型 ”分 为 三 类 : 
。 主机 名 : 填写 主机 名 ， 需 要 DNS 上 有 相应 配置 
。 主机 IP 地 址 : 填写 iP 地址 
。 任意 IP 地 址 : 直接 填写 端口 号 即 可 。 


端口 转发 在 应 用 级 对 用 户 访问 进 得 控制 ， 可 控制 是 否 提 供 各 种 应 用 服务 (如 : Telnet. 
远程 桌面 、FTP、Email 等 基于 TCP 连 接 的 服务 ) 。 


o 5310 


端口 转发 访问 实例 (二) 


。 点 击 端 口 转发 “启动 ”按钮 ， 启 用 端口 转发 服务 : 
vV 端口 转发 





家 SSH 
i telnet 
Set ftp 





vV 端口 转发 


Set ssh 
ie telnet 


iF fo 
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登录 到 SSL VPN 网 关上 后 ， 会 出 现 以 上 页 面 s 在 配置 端口 转发 的 基本 功能 之 前 ， 需 要 
准备 以 下 数据 : 


1. 端 口 转发 资源 的 名 称 。 

2. 端 口 转发 资源 的 主机 名 /WP 地 址 。 
3. 端 口 转发 资源 提供 服务 的 端 辐 。 
4. 端 口 转发 资源 的 描述 信息 EE) o 
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端口 转发 访问 实例 (三 ) 


。 可 采用 端 > 次 3 
l PAET AROR 问 。 举 例 --- telnet 















Ex 
J aman 
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telnet 命 令 后 输入 ag pea: 
T 于 输入 内 网 实际 要 访问 的 设备 的 PP 地 址 ， 而 不 是 防火 墙 或 SVN 的 外 网 或 内 网 





o 5330 























生生 s 
网 络 扩展 访问 实例 〈 一 ) 
- ~ 
Pe aw SN aw 
。 在 网 管 页面 上 可 配置 客户 端 |P 分 配方 式 以 及 客户 端 路 由 方式 。 
虚拟 网 关 列表 网 络 扩展 
G 虚拟 同 关 列表 | Rare ~ 
a G test 回 启用 网 络 扩 展 功能 
o 网 络 配置 Demise 
© SSLRCHE 口 启用 点 对 点 通读 
o 认证 授权 配置 >、 
o REME J SP MPHIL - 一 
和 起 娩 地 址 192.168. 120. 490) 
ng 结束 地址 192. 168.120. 1200 
© Wel 7 
rere IP 地 址 池 方 式 子 网 掩 码 5 
o 端口 转发 
o RAYE > VRRP VRID 形式 [3 
Ee © 客户 芋 路 由 方式 一 一 一 一 
o TRER pee 
© 
o 虚拟 网 关 维 护 OSNR 
OFIAR 
N 
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。 DHCP 分 配方 式 


为 企业 已 有 的 DHCP 服 务 器 提供 接口 ,通过 DHCP 来 为 登录 SSL VPN 的 远 端 用 户 分 配 内 网 
IP 地 址 。 


IP 地 址 池 是 企业 划 出 一 段 连续 、 未 使 用 的 IP 地 址 ， 用 作 分 配给 SSL VPN 用 户 的 虚拟 地 址 
IP 地 址 可 以 随机 分 配 ， 也 可 以 将 用 户 账号 与 某 一 IP 地 址 绑 定 ， 则 每 次 该 用 户 启 用 网 络 


扩展 功能 时 ， 对 用 的 都 是 同 二 内 网 IP 地 址 。 
如 果 绑 定 的 地 址 包含 在 地 址 池内 ， 则 该 地 址 就 被 锁定 了 ， 不 会 分 配给 另 一 个 用 户 。 
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网 络 扩展 访问 实例 (二 ) 


。 点 击 网 络 扩展 启动 按钮 ， 启 动 网 络 扩展 功能 。 





Vv Rare 
ale 
© e 
o> 正在 启动 网 络 扩展 服务 ， 请 稍 候 … 





。 网 络 扩展 启动 成 功 后 ， 在 电脑 任务 栏 上 会 提示 网 络 抗 展 已 启动 。 


D 网 络 扩展 <) 
网 络 扩展 已 启动 





A JERI 
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网 络 扩 展 访问 实例 (三 ) 


。 查看 PC 机 的 IP 地 址 ， 已 经 分 配 到 了 地 址 池 中 的 地 址 。 此 时 ， 可 以 开 
始 使 用 网 络 扩展 功能 访问 网 络 资源 。 
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此 时 查看 远程 客户 端的 IP 地 址 ， 可 以 看 到 两 个 网 卡 。 一 个 为 真实 网 卡 ， 一 个 为 虚拟 网 


卡 。 
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网 络 扩展 访问 实例 《四 ) 


应 用 实例 一 一 FTP: 应 用 实例 一 一 登录 远 
~ à ~ 登录 = bie 
eee, ee Se 
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VPNDB 应 用 实例 (一) 


。 在 虚拟 网 管 列表 中 ， 点 击 “VPNDB 配 置 ”进入 此 页 面 。 


EMAAR VPNDB 配 置 
后 虚拟 网 关 列表 MPSR ”组 管理 。 密码 设置 





© VPNOBECEE » 
o 外 部 姐 配 置 


o Web 代 理 批量 用 户 文 件 


o 文件 共享 
-MORR 用 户 记 录 格 式 要 求 


9 网 络 扩展 
9 日志 管理 
o TRER 
o 虚拟 网 关 准 护 




















N 
Fr ~} 
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VPNDB 中 的 用 户 信息 可 以 单个 创建 ， 也 可 以 通过 导入 文件 批量 创建 。 导 入 的 文件 类 型 
为 “*.txt"。 文 件 中 每 一 行 作为 一 个 用 户 的 信息 ， 内 容 格式 为 “用 户 名 密码 ”或 “用 户 名 
密码 UID GID”， 每 一 行 以 回 车 换行 结束 。 

在 本 页 面 中 可 配置 远程 客户 端 与 SSL VPN 网 关 建 立 SSL VPN 隧 道 所 使 用 的 账号 ， 并 且 可 
以 将 此 账号 加 入 某 个 用 户 组 中 。 

如 果 配 置 虚 拟 |P 地 址 ， 则 将 尼 IP 球 址 和 用 户 名 进行 了 绑 定 。 
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总 “5 


。 SSL VPN 的 技术 原理 
e SVN 产 品 的 基本 功能 和 特性 
。 SSL VPN 配 置 方 法 


Copyright © 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 56 





W Huawei 


o 539 


思考 题 


SSL VPN 主 要 应 用 在 哪些 场景 ? 

。 SSL VPN 主 要 可 提供 哪些 安全 服务 ? 

。 SSL VPN 中 虚拟 网 关 的 作用 是 什么 ? x 
。 独占 型 、 共 享 型 虚拟 网 关 有 什么 区 别 ? CNZINAASSEY? 
Web 代 理 、 文 件 共享 、 端 口 转发 和 网 络 扩展 的 应 用 场景 名 写作 么 ? 
网 络 扩展 有 哪 3 种 访问 方式 ? 它们 之 间 的 实现 机 制 有 神色 不 间 ? 
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说 明 : Web 代 理 、 文 件 共享 无 需 使 用 控件 ， 而 端口 转发 和 网 络 扩展 需要 控件 。 
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@ 目标 


。 学 完 本 课程 后 ， 您 ; 
o 了 解 防火 墙 UTM 技 术 产 生 的 背景 ; 
o 理解 防火 墙 UTM 特 性 ; 
o 掌握 防火 墙 UTM 特 性 配置 。 


FRET: 





Copyright©2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved. 


Paget w HUAWEI 








© 目录 


1. 防火 墙 UTM 技 术 产 生 背 景 
2， 防 火 墙 UTM 特 性 介绍 

















3， 防 火 墙 UTM 特 性 配置 
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网 络 安全 威胁 分 析 


。 网 络 威胁 
o 黑客 入 侵 、 拒 绝 服务 攻击 、 病 毒 及 恶意 软件 、 个 人 安全 意识 薄弱 
。 网 络 威胁 的 现状 
o 现在 大 多 数 病毒 等 网 络 威胁 不 再 单纯 地 攻击 电脑 系统 ， 而 是 被 黑客 政 击 


和 不 法 分 子 利用 ， 成 为 他 们 获取 利益 的 工具 。 因 此 ， 传 统 的 电脑 病毒 等 
网 络 威胁 ， 正 在 向 由 利益 驱动 的 、 全 面 的 网 络 威胁 发 展 变化 
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在 目前 出 现 的 各 种 安全 威胁 当中 ， WU Bot、Rootkit、 特 洛 依 木 
马 与 后 门 程序 、 弱 点 攻击 程序 以 及 行动 装置 恶意 程序 ) 类 别 占有 很 高 的 比例 ， 灰 色 软 件 
(间谍 /广告 软件 ) 的 影响 也 逐渐 扩大 前 犯罪 程序 有 关 的 安全 威胁 已 经 成 为 威胁 网 络 
安全 的 重要 因素 。 


目前 用 户 面临 的 不 再 是 传统 的 病毒 政 击 ，“ 网 络 威胁 ”经 常 是 融合 了 病毒 、 黑 客 攻击 、 


木马 、 人 和 僵尸、 间谍 等 危害 等 于 二 身 的 混合 体 ， 因 此 单 靠 以 往 的 防毒 或 者 防 黑 技 术 往 往 难 以 
抵御 。 








黑客 入 侵 


。 网 络 黑客 、 企 业内 部 恶意 员工 利用 系统 及 软件 的 漏洞 ， 入 侵 服 务 器 
， 严 重 威胁 企业 关键 业务 数据 的 安全 。 


cc — 





A 
3233 5 


恶意 员工 
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服务 器 漏洞 给 企业 造成 严重 的 安全 威胁 : 

企业 内 网 中 许多 应 用 软件 可 能 存在 漏洞 

互联 网 使 应 用 软件 的 漏洞 迅速 传播 ; 

蠕虫 利用 应 用 软件 漏洞 大 肆 传 播 伍 消耗 网 络 带 宽 ， 破 坏 重要 数据 ; 

黑客 、 恶 意 员工 利用 漏洞 攻击 或 入 侵 企 业 服务 器 ， 业 务 机 密 被 纂 改 、 破 坏 和 偷窃 。 


0 490 








拒绝 服务 攻击 威胁 








。 以 经 济 利益 为 目的 的 DDO3 攻 击 不 断 威胁 着 企业 正常 运营 ， 且 攻击 
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。 DDOS 攻 击 威 胁 : 
o 以 经 济 利益 为 目标 的 全 球 黑 色 产 业 链 的 形成 ， 网 络 上 存在 大 量 僵尸 网 络 ; 
o 不 法 分 子 的 敲诈 勒索 ， 同 行 的 恶意 苋 争 等 都 有 可 能 导致 企业 遭受 DDoS 攻 击 ; 
o 遭受 DDoS 攻 击 时 ， 网 络 带 宽 被 大 量 占用 ， 网 络 陷 于 瘫痪 ; 受 攻击 服务 器 资源 被 


Q 5500 


耗 尽 无 法 响应 正常 用 户 请 求 , 严重 时 会 造成 系统 死机 ， 企 业 业 务 无 法 正常 运行 。 








ay 
Sa 


病 


病毒 及 恶意 软件 安全 威胁 


。 随 着 企业 业务 拓展 ， 更 多 业务 应 用 依赖 于 IT 信 息 系 统 来 完成 。 在 业 
行 过 程 中 ， 不 断面 临 着 病毒 、 木 马 、 间 谍 软 件 等 的 严重 威胁 。 





= 
路 由 器 my 


a = Jee 
eaa Iip 


木马 病毒 
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j 览 网 页 、 邮 件 传输 是 病毒 、 木 马 、 间 过 软件 进入 内 网 的 主要 途径 ; 


够 破坏 计算 机 系统 ， 纂 改 、 损 坏 业务 数 据 ; 


木马 使 黑客 不 仅 可 以 窃取 计算 机 上 的 重要 信息 ， 还 可 以 对 内 网 计算 机 破坏 ; 间谍 软件 搜 
集 、 使 用 、 并 散播 企业 员工 的 敏感 信息 y 严重 干扰 企业 的 正常 业务 ; 


桌面 型 反 病 毒 软件 难于 从 全 局 上 防止 病毒 泛滥 。 
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个 人 安全 意识 薄弱 带 来 的 威胁 
P2P. IM3KFA. it 
问 非法 网 站 等 行为 

给 企业 带宽 、 运 营 og > = & 


效率 带 来 严重 影响 。 企业 内 网 =e 
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。 P2P、IM 滥 用 给 企业 带宽 、 运 营 效 率 带 来 严重 影响 。 员 工 不 受 控 Web 访 问 可 能 会 : 
o 被 不 安全 的 链接 或 者 恶意 下 载 植 六 代码 ， 使 机 构成 为 僵尸 网 络 或 者 感染 病毒 ; 
o 容易 被 含有 欺骗 信息 的 钓鱼 网 站 所 欺骗 ， 泄 露 个 人 银行 帐号 、 密 码 等 机 密 信 息 ; 
o 被 娱乐 性 内 容 所 吸引 ; 


o 网 页 中 可 能 带 有 与 法 律 相抵 触 的 内 容 (如 色情 、 暴 力 ) ， 给 企业 带 来 一 系列 法 律 
风险 。 
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网 络 安 全 发 展 趋势 


。 安全 威胁 正 由 单纯 的 网 络 威胁 向 应 用 与 数据 安全 威胁 演进 
。 安全 问题 带 来 的 影响 随 着 应 用 的 推广 变 得 更 加 广泛 和 难以 控制 


| MAE 





1996 2004 


交换 路 上 防火 墙 VPN 

















Copyright©2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved. Page8 w HUAWEI 





。 网 络 安全 发 展 趋势 : 


攻击 从 网 络 层 向 应 用 及 业务 层 延 伸 ， 要 求 以 网 络 为 核心 的 TM 技 术 和 以 终端 为 核心 
的 SCM 技 术 在 网 络 上 进行 融合 防范 

o 对 资源 及 内 容 的 优化 管理 成 为 最 关心 的 主题 一 对 DPI 的 需求 ， 以 DPI 技术 为 核心 的 
业务 应 用 将 成 为 重点 ; 

o 客户 从 设备 需求 到 服务 需求 的 转化 ，SCTM/DPI 等 产品 的 应 用 要 求 持续 提供 升级 
及 响应 服务 ， 使 得 商业 模式 发 生 演化 ; 

o 从 网 络 安全 向 安全 网 络 转化 ， 芯 片 、 软 件 技术 的 发 展 使 得 网 络 产品 和 安全 产品 的 
融合 成 为 可 能 广域网 安全 、 多 人 台 网 关 设备 集中 管理 、TCO 等 需求 必 将 驱使 路 由 
器 与 安全 产品 融合 ， 建 设 安全 的 网 络 成 为 基本 要 求 。 
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实现 内 容 安 全 “全 面 保 护 ” 
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UTM (Unified Threat Management) Lek nests, 融合 了 IPS 入 侵 防 御 系 统 、AV 
网 关 防 病毒 、 上 网 行为 管理 、 防 DDOS 攻 击 等 特性 ， 为 更 好 的 解决 来 自 企 业内 部 、 外 部 的 
攻击 威胁 提供 了 强 有 力 的 保障 


~ ee 





© 目录 
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什么 是 入 侵 ? 

。 入 侵 是 指 未 经 授权 而 尝试 访问 信息 系统 资源 、 窜 改 信息 系统 
中 的 数据 ， 使 信息 系统 不 可 靠 或 不 能 使 用 的 行为 ; Q 

。 入 侵 企图 破坏 信息 系统 的 完整 性 、 机 密 性 、 可 用 性 以 及 可 控 


性 。 
问题 1: 病毒 是 入 侵 行为 么 ? 4 
A -一 . 
问题 2: 网 络 钓鱼 是 入 侵 行为 和 9 
P è 
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。 典型 的 入 侵 行 为 : 
o 算 改 Web 网 页 ; 
o 破解 系统 密码 
o 复制 /查看 敏感 数据 ; 
o 使 用 网 络 嗅 探 工 具 获 取 用 户 密码 ; 
访问 未 经 允许 的 服务 器 ; 
o 其 他 特殊 硬件 获得 原始 网 络 包 ; 
o 向 主机 植 入 特洛伊 木马 程序 。 
。 什么 是 网 络 钓鱼 ? 


o 网 络 钓鱼 英文 叫 Phishing， 是 Fishing 和 Phone 的 结合 体 ， 这 是 因为 最 初 的 钓鱼 作 
案 就 是 使 用 的 电话 ， 所 以 使 用 Ph 代替 F， 创 造 了 “Phishing” 这 个 词 。 

5 网 络 钓鱼 利用 欺骗 性 的 电子 邮件 和 伪造 的 Web 站 点 来 进行 诈骗 活动 ， 诈 骗 者 把 自 
己 伪装 成 知名 的 网 站 、 银 行 、 在 线 零售 商 等 吸引 受害 者 上 当 。 受 害 者 可 能 在 这 些 
欺骗 网 站 上 泄露 自己 的 银行 卡 账号 、 密 码 等 敏感 信息 。 


口 
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入 侵 检 测 及 入 侵 检 测 系统 


。 入 侵 检 测 (ID, Intrusion Detection) 
o 通过 监视 各 种 操作 ， 分 析 、 审 计 各 种 数据 和 现象 来 实时 检测 入 侵 行为 的 
过 程 ， 它 是 一 种 积极 的 和 动态 的 安全 防御 技术 ; 
o 入 侵 检测 的 内 容 涵盖 了 授权 的 和 非 授权 的 各 种 入 侵 行为 。 
。 入 侵 检测 系统 (IDS, Intrusion Detection System) 
o 用 于 入 侵 检测 的 所 有 软 硬 件 系统 ; 
o 发 现 有 违反 安全 策略 的 行为 或 系统 存在 被 攻击 的 痕迹 ， 立 即 启动 有 关 安 
全 机 制 进行 应 对 。 


page12 W Huawei 
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入 侵 检 测 的 内 容 涵盖 了 授权 的 和 非 授权 的 各 种 入 侵 行为 ， 例如， 违反 安全 策略 行为 、 
冒充 其 他 用 户 、 泄 露 系统 资源 、 恶 意 行为 、 非 法 访问 ， 以 及 授权 者 滥用 权力 等 。 

入 侵 检 测 系统 可 以 通过 网 络 和 计算 机 动态 地 搜集 大 量 关 键 信息 资料 ， 并 能 及 时 分 析 和 
判断 整个 系统 环境 的 目前 状态 ， 一 旦 发 现 有 违反 安全 策略 的 行为 或 系统 存在 被 攻击 的 痕迹 
等 ， 立 即 启动 有 关 安 全 机 制 进行 应 对 例如 ， 通 过 控制 台 或 电子 邮件 向 网 络 安全 管理 员 报 
告 案 情 ， 立 即 中 止 入 侵 行为 、, 关 闭 整 个 系统 、 断 开 网 络 连 接 等 。 


AAI > 








0 5570 





入 侵 检 测 系统 在 安全 体系 中 的 位 置 


监视 器 加 固 的 房间 门 安全 传输 
入 侵 检测 系统 系统 加 固 、 免 疫 加 密 、VPN ® 





监控 室 门禁 系统 < 保安 员 
安全 管理 中 心 身份 认证 、 访 问 控制 Als. WAAR 
1 >» 
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在 信息 安全 建设 中 ， 入 侵 检 测 系统 扮演 着 监视 器 的 角色 ， 通 过 监控 信息 系统 关键 节 
ee 对 其 进行 深入 分 析 ， 发 掘 正 在 发 生 的 安全 事件 。 一 个 形象 的 比喻 就 是 : IDS 就 像 

全 监控 体系 中 的 摄像 头 ， 通 过 ID3, 4 系统 管理 员 能 够 捕获 关键 节点 的 流量 并 做 智能 的 分 
机 从 中 发 现 异常 、 可 疑 的 网 络 行为 ， 并 向 管理 员 报 告 


。 防火 墙 与 DS 
o 防火 墙 属于 串 路 设备 乌 需 要 做 快速 转发 ， 无 法 做 深度 检测 ; 


O 防火墙 无 法 正确 分 析 挫 杂 在 允许 应 用 数据 流 中 的 恶意 代码 ， 无 法 检测 来 自 内 部 人 
员 地 恶意 操作 或 误 操 作 ; 
o 防火墙 属 予 粗 粒 度 的 访问 控制 ，IDS 属 于 细 粒 度 的 检测 设备 ， 通 过 IDS 可 以 更 精确 


地 监控 现 网 3 
o IDS 可 和 与 防火 墙 、 交 换 机 进行 联动 ， 成 为 防火 墙 的 得 力 “ 助 手 ”， 更 好 、 更 精确 的 
控制 外 域 间 地 访问 ; 


o 4DS 可 灵活 、 及 时 的 进行 升级 ， 策 略 地 配置 操作 方便 灵活 。 
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入 侵 防 御 系 统 


。 入 侵 防 御 系 统 (IPS, Intrusion Prevention System ) 
a 发 现 入 侵 行为 时 能 实时 阻 断 的 入 侵 检 测 系统 。 
o IPS 使 得 IDS 和 防火 墙 走 向 统一 x 
o IPS 在 网 络 中 一 般 有 两 种 部 署 方式 


旁 路 SPAN: 接 在 交换 机 上 ， SOLO S 
TAP: 通 过 专用 的 流量 镜像 设备 ， 部 团 在 网 络 边界 





inline: 串 接 在 网 络 边界 ， age 在 线 阻 
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MBAR (IPS, Intrusion Prevention =System ) ， 在 发 现 入 侵 行为 时 能 实时 阻 
断 的 入 侵 检 测 系统 。IPS 是 一 种 智能 化 的 入 侵 检 测 和 防御 产品 ， 它 不 但 能 检测 入 侵 的 发 生 ， 
而 且 能 通过 一 定 的 响应 方式 ， 实 时 地 申 止 入 侵 行为 的 发 生 和 发 展 ， 实 时 地 保护 信息 系统 不 
受 实质 性 的 攻击 。 


SPAN 也 叫做 端口 镜像 或 者 端 后 监控 ， 是 通过 交换 机 配置 将 某 个 端口 或 某 组 端口 的 流 
量 复制 到 另外 的 端口 实现 的 。 


TAP 是 Test Access Peint 的 首 字 母 缩写 ， 粗 浅 的 说 ，Tap 的 概念 类 似 于 “三 通 ” 的 意 

， 即 原来 的 流量 正常 通行 ,同时 分 一 股 出 来 供 监测 设备 分 析 使 用 。 对 Tap 这 个 词 的 翻译 ， 
a 分 光 是 数据 通过 光纤 传输 ; 分 路 是 数据 通过 网 线 传输 。 其 
实 这 只 是 最 简单 的 Jop 的 概念 ， 目 前 的 技术 发 展 已 经 产生 出 很 多 种 的 Taop: 有 可 以 把 多 条 
链 路 汇聚 起 来 的 Tap、 有 把 一 条 链 路 流量 分 成 几 份 的 Top、 有 过 滤 Tap、 有 Tap switch 等 等 ， 
已 经 不 能 再 用 /三 通 ”这 个 词 去 简单 概括 了 。TQap 的 出 现 是 整个 监控 /监测 领域 的 巨大 革命 ， 
它 从 根本 上 改变 了 监测 分 析 系 统 的 接 入 方式 ， 使 得 整个 监测 系统 有 了 完整 灵活 的 解决 方案 
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入 侵 防 御 系 统 技术 特点 


-A 

自学 习 及 
á 适应 
Intrusion (=) 


Prevention 


System 
图 
apen -Ə 
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实时 阻 断 











入 侵 防御 系统 的 基本 技术 特点 主要 包括 : 
在 线 模 式 (Inline) : 


o 能 够 让 IPS 实 时 阻 断 到 发 现 的 网 络 攻 击 行为 ， 避 免 ID5 发 现 攻击 ， 而 无 法 实时 阻止 
攻击 行为 发 生 的 缺陷 ， 最 大 限度 的 提升 系统 的 安全 性 ; 


自学 习 与 自 适应 : 


o IPS 能 够 通过 自学 习 与 自 适应 将 系统 的 漏 报 与 误 报 降低 到 最 低 ， 减 少 对 业务 的 影响 ; 
自 定义 规则 : 

o IPS 能 够 自 定义 入 侵 防 御 规 则 ， 最 大 限度 的 对 最 新 的 威胁 作出 反应 ; 
深度 报 文 检测 : 

o 让 IPS 能 够 检测 到 基于 应 用 层 的 异常 与 攻击 ; 
SEHERE: 


o IRS 因 为 采取 的 是 在 线 部 署 方式 ， 所 以 能 够 在 发 现 攻击 的 同时 实时 阻 断 攻 击 ， 最 大 
限度 的 提高 了 保护 对 象 的 安全 性 。 


560 [] 
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计算 机 病毒 基本 概念 


。 计算 机 病毒 
5 编制 或 者 在 计算 机 程序 中 插入 的 破坏 计算 机 功能 或 者 破坏 数据 ， 影 响 证 
算 机 使 用 并 且 能 够 自我 复制 的 一 组 计算 机 指令 或 者 程序 代码 被 称 为 计 唱 人 
机 病毒 (Computer Virus) 。 
。 恶意 代码 
o 一 种 程序 ， 它 通过 把 代码 在 不 被 察觉 的 情况 下 镶 骨 到 另 过 段 程序 中 ， 从 
而 达到 破坏 被 感染 电脑 数据 、 运 行 具有 入 侵 性 或 破坏 性 的 程序 、 破 坏 被 
感染 电脑 数据 的 安全 性 和 完整 性 的 目的 。 
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计算 机 病毒 具有 破坏 性 ， 复 制 性 和 传染 性 。 木 马 、 间 谍 软 件 、 蠕 虫 、 逻 辑 炸 弹 、 漏 洞 
利用 程序 、 垃 圾 邮件 发 送 器 、 下 载 器 、 拨 号 器 ss 泛 洪 攻 击 器 、 击 键 记录 器 均 属于 恶意 代码 
， 严 格 意义 上 讲 计算 机 病毒 是 恶意 代码 的 一 种 。 


计算 机 病毒 分 类 : 

o 按照 恶意 代码 功能 分 类 :。 里 由 、 木 马 ; 

o 按照 传播 机 制 分 类 : 可 移动 媒体 、 网 络 共享 、 网 络 扫描 、 电 子 邮 件 、P2P 网 络 ; 
5 按照 感染 对 象 分 类 :< 操作 系统 、 应 用 程序 、 设 备 ; 

o 按照 携带 者 对 象 分 类 : 可 执行 文件 、 脚 本 、 宏 、 引 导 区 ; 
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病毒 、 蠕 虫 和 木马 


存在 形式 独立 个 体 





复制 机 制 宿主 程序 自身 拷贝 


传染 性 主 程序 运 系统 存在 漏洞 依据 载体 或 功能 





传染 目标 主要 是 针对 本 地 文件 | 针对 网 络 上 其 它 计算 机 | 肉 机 或 僵 尺 





触发 机 制 计算 机 使 用 者 程序 自身 远程 控制 





影响 重点 文件 系统 网 络 性 能 、 系 统 性 能 | fens HARE TEARS 


从 宿主 程序 中 摘除 为 系统 打 补丁 (Patch) 防止 木马 植 入 
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网 关 防 病毒 主要 实现 方式 


。 代理 扫描 方式 
o 将 所 有 经 过 网 关 的 需要 进行 病毒 检测 的 数据 报 文 透明 的 转交 给 
关 自身 的 协议 栈 ， 通 过 网 关 自身 的 协议 栈 将 文件 全 部 缓存 下 来 后 
再 送 入 病毒 检测 引擎 进行 病毒 检测 。 
。 流 扫描 方式 
o 依赖 于 状态 检测 技术 以 及 协议 解析 技术 ， 简 单 的 提取 文件 的 特征 
与 本 地 签名 库 进行 匹配 。 
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目前 设备 厂商 (包括 UTM、AVG) 的 AV 扫 描 方式 ， 分 为 两 种 : 流 扫描 方式 和 代理 扫 
描 方 式 。 

基于 代理 的 反 病 毒 网 关 可 以 进行 更 多 如 解压 ， 脱 壳 等 高 级 操作 ， 检 测 率 高 ， 但 是 ， 由 
于 进行 了 文件 全 缓存 ， 其 性 能 、 系 统 开销 将 会 比较 大 。 基 于 流 扫描 的 反 病 毒 网 天 性 能 高 ， 
开销 小 ， 但 该 方式 检测 率 有 限 ， 无 法 应 对 加 壳 、 压 缩 等 方式 处 理 过 的 文件 。 
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网 关 防 病毒 典型 技术 


文件 识别 技术 
脱 壳 技 术 

解压 技术 

静态 识别 技术 
动态 虚拟 机 技术 





Scansfiles 
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识别 文件 类 型 是 检测 病毒 的 重要 手段 之 一 。 利 用 文件 识别 技术 能 够 准确 识别 出 文 
件 的 类 型 。 识 别 一 个 文件 的 类 型 有 多 种 方式 ， 如 根据 后 缀 名 或 文件 的 真实 内 容 。 后 级 
名 是 允许 用 户 修改 的 ， 因 此 并 不 可 靠 NA 根据 文件 真实 内 容 识别 则 更 加 可 靠 ， 文 件 真实 
类 型 的 识别 一 般 可 以 由 文件 的 前 64 宗 节 就 可 以 判断 出 。 

实际 应 用 中 ， 恶 意 代码 为 了 隐藏 自 己 通常 会 加 过。 为 了 使 病毒 检测 引擎 能 够 检测 
出 恶意 代码 中 的 特征 ， 病 毒 检测 竖 | 擎 需要 利用 脱 壳 技术 首先 进行 脱 壳 操作 。 

对 于 压缩 过 的 文件 无 论 是 入 侵 检测 系统 还 是 病毒 检测 系统 都 无 法 直接 检测 ， 因 此 
需要 解压 技术 对 文件 先进 行 解压 ， 然 后 再 实施 病毒 检测 操作 。 

利用 静态 识别 技术 从 病毒 体内 提取 的 原始 数据 片断 ， 以 及 该 片断 的 位 置信 息 可 以 
实现 快速 的 静态 分 析 汶 病毒 检测 的 精确 度 高 ， 误 报 少 。 

利用 动态 虚拟 机 技术 ， 首 先 提供 一 个 完全 模拟 x86 指 令 集 的 可 执行 受 管理 程序 的 


虚拟 执行 环境 ， 诗 待 检 测 的 程序 直接 在 该 环境 中 执行 一 些 指令 ， 从 而 实现 病毒 的 动态 
令 测 。 
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Fage21 w HUAWEI 


Copyright©2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved. 








o 5660 





UTM 基 础 配置 


。 在 使 用 防火 墙 UTM 功 能 前 ， 需 要 首先 完成 以 下 基础 配置 : 


2 





N 
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UTM 功 能 需要 License 支 持 ， 在 进行 UTM 功 能 配置 前 ， 需 要 申请 并 激活 UTM 特 性 的 
license。 


使 用 反 病 毒 、IPS、URL 分 类 、 应 用 控制 功能 前 ， 首 先 应 该 指定 使 用 的 病毒 库 、IPS 签 名 
库 、URL 热 点 库 和 知识 库 。 病 毒 库 、IPS 签 名 库 和 URL 热 点 库 需要 激活 License 后 (知识 库 不 
需要 激活 License) ， 才 可 对 其 进行 安装 和 升级 。 


使 用 UTM 各 功能 前 ， 必 须 害 用 UTIM。 
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License 申 请 流程 







查看 License 授 权证 书 xX 


在 设备 上 进行 操作 


由 请 License 


{ELicense BIW FARE BA 
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。 获取 LAC 

LAC (License 授权 码 ) 需要 从 Licemse 授 权证 书 上 获取 ， 由 数字 、 字 母 或 中 划 线 组 成 ， 
长 度 为 21 位 。 
。 获取 ESN 


ESN (设备 序列 号 ) 需要 在 设备 上 进行 操作 获取 。 
e 获取 License 文 件 


推荐 通过 License 自 助 服务 系统 获取 ， 也 可 以 通过 邮件 方式 获取 。 
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3B SE | | T 
oo 
激活 1icense 操 作 
。 进入 “系统 > 维护 >License 管 理 ”， 激 活 License。 
' 系统 BP > License 管 理 > 
License 管 理 xX 
License 激 活 方式 © 在 线 自动 激活 本 地 手动 激活 
License 中 心 域名 lic.huawei.com e 
License 授 权 编 码 
License 资 源 状态 ~N >’ 
BAAS 已 授权 〈 10 个 虚拟 防火 墙 ) 
SSL_VPN 已 授权 3 个 并 发 用 户 ) 
ARM RER (RWE) > 
版 本 号 : 0.000 Pina 
签名 库 版 本 : 0.000 (升级 时 间 : + 00:00:00 0000/0000 Mra 了 
RAG REN (AEE) 
版 本 号 : 0.000 HRA 
签名 库 版 本 : 0.000 (升级 时 间 : : 00:00:80 0000/00/00) 
垃圾 邮件 过 滤 RER (RWE) È 
URLE XHAI 未 授权 ME) EE 
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在 激活 License 前 ， 确 保 获取 到 的 License 交 件 已 保存 到 USG 的 存储 设备 的 根 目 录 中 
(后 缀 名 必须 为 .dat) 。 系 统 中 只 能 存在 一 企 处 于 激活 状态 的 License 文 件 ， 激 活 新 的 
License 将 会 使 日 的 License 失 效 。 

只 有 当 设 备 ESN、 软 件 版 本 等 信息 完 爹 与 License 文 件 内 容 吻合 的 情况 下 ，License 才 
能 成 功 被 激活 。 
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升级 方式 选择 一 一 在 线 升级 


。 通过 安全 服务 中 心 在 线 升级 
。 通过 内 网 升级 服务 器 在 线 升级 


一 ~ 
s’ „aanre "awan ~ 
一 一 ` 








Pe i © SS {7 
防火 墙 UTM 
安全 服务 中 心 
内 部 升级 服务 器 
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在 线 升级 指 USG 连 接 到 安全 服务 中 心 或 内 网 升级 服务 器 下 载 升级 版 本 。 
。 通过 安全 服务 中 心 在 线 升级 主要 步骤 : 
1. 发 送 更 新 请 求 、 升 级 权限 验证 
2. 下 载 签名 库 、 病 毒 库 
。 通过 内 网 升级 服务 器 在 线 升级 
1. 定期 发 送 下 载 IPS 版 本 、AV 版 本 请 求 
2. 下 载 IP3 版 本 、AV 版 本 
3. 发 送 升 级 请 求 六 .验证 升级 权限 和 有 效 期 
4. 从 内 网 升级 服务 器 下 载 新 版 本 
在 线 升级 义 分 为 定时 在 线 升级 和 手工 在 线 升级 。 
。 定时 在 线 升级 


USG 定 期 连接 安全 服务 中 心 或 内 网 升级 服务 器 检查 是 否 存在 新 的 签名 库 版 本 、 病 毒 库 
版 本 4 如 果 安 全 服务 中 心 或 内 网 升级 服务 器 上 存在 新 版 本 的 签名 库 版 本 、 病 毒 库 版 本 ， 
USG 会 根据 设 定 的 时 间 下 载 并 更 新 本 地 的 签名 库 或 病毒 库 。 


。 手动 在 线 升级 


当 用 户 发 现 网 络 上 出 现 新 的 攻击 方式 ， 而 USG 定 时 更 新 时 间 还 没 达到 ， 或 USG 未 启用 
定时 更 新 ， 则 需 手动 升级 。 
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升级 方式 选择 一 一 本 地 升级 


升级 





在 线 升 级 


Yj 定时 在 线 升级 手动 在 线 升级 


e) 每 日 03:05 * X 


每 周 


本 地 升级 














文件 浏览 


导入 关闭 
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当 USG 与 Infernet 物 理 隔 离 ， 且 企业 内 网 没有 都 署 内 网 升级 服务 器 时 ， 可 以 采用 本 地 
升级 方式 。 如 果 USG 无 法 访问 安全 服务 中 心 了 时 ， 用 户 可 以 在 能 够 访问 安全 服务 中 心 的 PC 
上 手工 下 载 升 级 包 ， 上 传 到 USG 中 进行 本 地 升级 。 
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启动 UTM 功 能 


选择 “UTM > 基本 配置 > 基本 配置 ”。 

选中 “启用 ”前 的 复 选 框 ， 启 用 UTM 功 能 

单 击 “ 应 用 ”。 X 
选择 “保存 配置 并 重启 ”或 “直接 重启 ” ， 单 击 “确定 ”。 


和 YON 


UTM >》 HRE > 基本 配置 





z A 


UTM 功 能 V 启用 b ”应 用 


售 只 有 启用 UTM 功 能 并 且 有 相应 的 License8 间 入 齐 防 一 、 反 病毒 、URLj 过 
滤 和 垃圾 邮件 过 源 功 能 才 可 以 使 用 。 





。 注意 : 启用 /禁用 UTM 需 要 重启 设备 ， 所 以 请 选择 在 业务 量 较 低 的 时 间 进 行 操作 。 


N 
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使 用 UTM 各 功能 前 ， 必 须 将 运行 模式 配置 为 TM 模式 。USG 防 火 墙 出 厂 默认 工作 在 防 
火 墙 模式 ， 也 可 以 通过 命令 runmode utm， 更 改 为 UTM 运 行 模式 。 
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入 侵 防御 配置 思路 








IPS 全 局 设置 





基本 配置 


UTM Y BA 应 用 







鲁 口 有 启用 UTMdz 能 并 且 有 相应 的 License 时 ， 入 车 
自 和 垃 吉 邮 件 过 小 功能 才 可 以 使 用 。 





全 局 启用 UTM 
功能 






IPS 策 略 。。 RRA 


REBHA € w 







[nammen van | 
工作 模式 防护 模式 a 
THR NONE — Se 全 局 启用 IPSI) 





as 能 
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IPS 工 作 模式 有 防护 模式 和 告警 模式 两 种 。 具 有 在 防护 模式 下 ，IPS 策 略 中 配置 的 阻 断 
响应 方式 才 可 以 生效 ; 告警 模式 下 ，IPs 策 略 中 配置 的 阻 断 响应 方式 无 效 ， 即 使 报 文 命中 的 
签名 对 应 的 响应 方式 为 Bock，USG5000 世 只 会 产生 告警 。 缺 省 情况 下 ，IPS 工 作 模 式 为 防 
护 模 式 。 

当 网 络 中 某 一 类 攻击 集中 爆发 时 ， 需 要 使 用 统一 的 策略 应 对 ; 当 这 类 攻击 过 去 ， 需 要 
恢复 原来 配置 的 策略 ， 这 时 可 以 使 用 特权 策略 。 配 置 了 特权 策略 后 ， 特 权 策 略 将 替换 所 有 
已 经 应 用 在 域内 或 域 间 的 策略 会 取消 特权 策略 配置 后 ， 将 恢复 域内 或 域 间 原 来 的 策略 配置 。 
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创建 IPS 策 略 







新 建 IPS 策 略 


ARP OG 
aa 
名 称 引用 次 数 fit 








IPs MRE 








命名 IP3 策 略 ， 
可 以 凸显 策 
略 的 特点 


RDA G5 


ORERM AAA DESEN. 


点 击 应 用 ,使 
名 称 生 效 ， 并 
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在 创建 IPS 策 略 时 ， 如 果 策 略 模板 能 够 满足 应 用 场景 或 者 与 应 用 场景 相似 ， 则 可 直接 在 
策略 中 引用 模板 或 引用 模板 后 对 签名 集 进行 相应 的 修改 。 这 样 可 以 达到 攻击 检测 率 、 性 能 
最 优化 ， 同 时 简化 配置 。 


系统 已 经 提供 了 以 下 策略 模板 : 
e Default: 默认 模板 。 该 模板 可 以 应 用 在 一 般 的 入 侵 防 御 场 景 
。 lds: 该 模板 适用 于 当 设 备 以 IPBSy( 旁 路 ) 模式 部 署 时 的 通用 场景 。 
。 Dmz: 该 模板 适用 于 当 设 备 部 署 在 DMZ 区 域 前 的 场景 。 
e web server: 该 模板 适用 于 当 设备 部 署 在 Web 服 务 器 前 面 的 场景 。 
e mailserver: 该 模板 适用 于 当 设 备 部 署 在 Malil 服 务 器 前 面 的 场景 。 
。 dns_servery 该 模板 适用 于 当 设 备 部 署 在 DNS 服务 器 前 面 的 场景 。 
e file_server: 该 模板 适用 于 当 设备 部 署 在 File 服 务 器 前 面 的 场景 。 
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ipsa 。 策略 模板 


HRA CHW 








点 击 创 建 签 
名 集 以 
签名 的 





进行 




















创建 IPS 策 略 后 ， 用 户 可 通过 配置 签名 集 ， 


DREAMERS YSERA 
应 用 返回 
A a 
a] 严重 性 = 可 信 度 类 别 mt J Par Re 
HM (Overrides) "1% b See 
Hane Naa © Bint 
zgo 签名 名 称 A 状态 动作 RE 
mi | 页 具 1 页 Al ww 没有 记录 
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以 双 签 名 集 的 启用 状态 和 响应 方式 来 满足 特 


IPS 策 略 中 配置 签名 集 后 ， 还 可 以 通过 配置 覆盖 签名 满足 用 户 的 特殊 需求 。 
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签名 集 详细 配置 


新 建 签名 集 x 


、 -| 
方向 启用 EZF, TUF 
严重 性 启用 显 该 签名 集 特点 


开启 类 别 维 度 筛选 ， 
并 选择 或 的 逻辑 关 
系 以 选择 所 有 签名 


















最 后 点 击 确 定 以 使 
配置 生效 








Copyright©2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved. Page33 w HUAWEI 





创建 一 个 签名 集 后 ， 缺 省 情况 下 所 有 预定 义 等 名 都 包含 在 该 签名 集中 。 用 户 需要 以 下 
操作 过 滤 签 名 集中 包含 的 签名 : 


9 在 签名 集中 启用 某 个 过 滤 条 件 % 

o 配置 该 过 滤 条 件 的 过 滤 参 数 % 

o 一 个 签名 必须 同时 满足 所 有 过 滤 条 件 才 能 加 入 签名 集 。 
签名 集中 只 包含 预定 义 签名 全 下 包含 自 定 义 签 名 。 
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IPS 签 名 集 优先 级 的 调整 


。 同一 个 策略 下 的 签名 集 是 有 优先 级 的 ， 当 一 条 签名 同时 属于 该 策略 
下 的 两 个 签名 集 时 ， 该 策略 的 属性 为 前 一 个 签名 集 的 属性 ; 
。 签名 集 的 优先 级 可 调整 ， 调 整 后 要 记得 执行 “提交 ”按钮 。 























签名 集 列表 
+ we Gif 
名 称 协议 方向 严重 性 RE 类 别 ne ae 二 
— Soe eon ETE oe AQ Jos: 
ttp disable o E E 
MM Overrides\MK SA y 
Pe Na S 

签名 D FORESEES http . 5 

第 11 ARIA 移动 方向 or Pm P< 
确定 取消 
= A 
移动 签名 集 
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签名 集 之 间 存 在 优先 关系 ， 在 同一 条 IRS 策 略 中 ， 排 在 前 面 的 签名 集 比 排 在 后 面 的 签名 
集 的 优先 级 高 。 如 果 一 个 签名 包含 在 一 条 IPS 策 略 的 多 个 签名 集中 ， 则 按照 优先 级 高 的 签名 
集 所 配置 的 启用 状态 和 响应 方式 对 匹配 签名 的 报 文 进行 处 理 。 当 安全 威胁 发 生变 化 ， 用 户 
可 以 调整 签名 集 的 优先 级 来 满足 新 的 安全 需求 。 


IPS 策 略 配置 完成 后 ， 需 要 提交 编译 成 功 后 才能 生效 。 
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域 间 应 用 1PS 策 略 


源 安全 区 域 trust 
目的 安全 区 域 




















oe g cal a 四 四 区 




















PS 第 中 protect tv 





记录 日 志 
开启 弟 鸣 会 话 流量 统计 





源 目的 地 址 不 配 
置 ， 默 认为 所 有 
IP 报 文 


动作 必须 为 pemmit, 
意思 为 执 得 IPS 策略 


色 选 PRS， 并 选择 IPS 
策略 eroftecf 


Fats AY FA AE 











[en | a 


Copyright©2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved. 


N 


Page35 w HUAWEI 





配置 PS 策略 后 ， 需 要 把 该 策略 应 用 到 域内 或 域 间 后 IPS 功 能 才 生 效 。 





协议 识别 结果 查询 


。 IPS 协议 识别 结果 查询 


eae 可 以 选择 具体 的 协 
emaa | 议 进行 查询 
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协议 识别 功能 对 基于 非 标准 端口 的 服务 进行 识别 ， 其 他 特性 利用 协议 识别 的 结果 对 报 
文 进行 处 理 。 协 议 识别 功能 解决 了 对 使 用 非 标准 端口 的 应 用 服务 报 文 的 漏 报 和 误 报 。 
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~ =Æ 
网 关 防 病毒 AV 配 置 思路 
新 建 AV 策 路 
RAV 
升级 AV 病 毒 库 RBAVARN ASE 
Be a] C 
配置 人 V 全 局 参数 配置 HTP 协议 反 病 
( 必 选 ) (可 选 ) = 
REAVER REPRE) 
( 必 选 ) (可 选 ) 

































































v 
应 用 AV 策 略 ey 
( 必 选 ) an 
Y 
(可 选 ) 
N 
L` Z 
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配置 AV 全 局 参数 





配置 全 局 参数 
AV 功 能 
扫描 等 级 
最 大 解压 层 数 
安全 改善 计划 


D 参与 安全 改善 计划 后 ， 设 备 可 以 在 线 收集 您 所 在 的 网 络 的 安全 性 问题 包括 病毒 以 及 获 击 的 
信息 ， 这 些 信息 将 发 送 给 Huawei 安 全 服务 中 心 ， 以 帮助 我 们 更 好 的 保护 您 的 网 络 。 


oL=] 














。 启用 /禁用 全 局 病毒 扫描 功能 。 

。 配置 全 局 病毒 扫描 的 等 级 。 

。 配置 全 局 病毒 扫描 的 最 大 解压 层 数 。 
。 启用 /禁用 安全 改善 计划 功能 。 
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。 启用 /禁用 全 局 病毒 扫描 功能 


o 只 有 启用 了 AV 功 能 ， 应 用 在 域 间 的 AV 策 略 才 生效 。AV 功 能 开关 只 对 新 建 连接 
生效 ， 对 启用 AV 功 能 之 前 已 存在 的 连接 不 生效 。 


。 配置 全 局 病毒 扫描 的 等 级 
5 扫描 等 级 共有 3 级 ， 默 认为 2 级 (中 )。 等 级 越 高 对 文件 的 扫描 深度 越 深 ， 系 统 消耗 
的 资源 也 越 多 。 扫 描 等 级 取 值 越 高 ， 病 毒 检测 率 会 越 高 ， 但 产生 误 报 的 可 能 性 也 
越 大 。 改 变 扫 描 等 级 会 导致 AV 引 敬重 新 初始 化 。 
。 配置 全 局 病毒 扫描 的 最 大 解压 层 数 
o 出 于 系统 资源 的 考虑 ， 超 大 压缩 层 数 的 设置 也 可 以 根据 用 户 的 网 络 现状 设置 ， 文 
件 藤 套 超过 T9 层 为 压缩 层 数 超 限 。 
o 当 网 络 上 传输 的 文件 的 压缩 层 数 小 于 或 等 于 最 大 解压 层 数 时 ， 文 件 将 被 解压 ， 然 
后 进行 扫描 ; 当 文 件 的 压缩 层 数 大 于 最 大 解压 层 数 时 ， 不 对 文件 进行 扫描 ， 并 按 
照 超过 最 大 解压 层 数 的 动作 处 理 。 
o 当 经 过 设备 的 文件 压缩 层 数 大 于 最 大 解压 层 数 时 ， 设 备 根据 AV 策 略 公共 配置 的 
“ 超 解 压 层 数 文件 ”中 的 处 理 方式 丢弃 或 放行 该 文件 。 
从 启用 /禁用 安全 改善 计划 功能 
o 启用 该 功能 后 ， 设 备 可 以 在 线 收 集 您 所 在 的 网 络 的 安全 性 问题 ， 包 括 病 毒 和 攻击 
言 息 ， 并 将 这 些 信息 发 送 给 安全 服务 中 心 ， 以 帮助 我 们 更 好 的 保护 您 的 网 络 。 












































配置 AV 全 局 参数 


AV 功 能 启用 
piss Ga ~ 


BAREEN 10 <2-20> 层 
RSet v BA 


Desrenmite DRT MAMER MARSHAL, DENGUERAM 













信息 ， 这 此 信息 村 改编 H Uawer 安全 服务 中 心 ， 以 帮助 我 们 更 好 的 保护 念 9 外 3 结 
应 用 
Al 列表 
[jj as 
a 引用 次 数 šit HTTP 协 议 。 FTP 协议 
mytest 0 Anti-Virus policy ooa oag 










新 建 AV 策 略 


= @ J 


Hit Anti-Virus policy 
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配置 AV 全 局 参数 

o 选择 “UTM > 反 病 毒 策略 ”。 

o 在 “配置 全 局 参数 ”区 域 框 中 配置 AV 全 局 参数 。 

o 单 击 “应 用 ”。 

注 : AV 全 局 参数 的 配置 对 所 有 AV 策 略 都 有 效 。 
新 建 AV 策 略 

o 选择 “UTM > 反 病 毒 > 策略 ”。 

o 单 击 “ 新 建 ” 

o 输入 新 建 AY 策 略 的 名 称 和 描述 。 

o RIERS o 
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。 超大 文件 

。 密码 保护 文件 
。 受 损 文件 

。 超 解压 层 数 文件 
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。 在 “公共 配置 ”区 域 框 中 配置 参数 。 《 超 犬 实 件 、 密 码 保护 文件 、 受 损 文件 、 超 解压 
层 数 文件 ) 
5 人 允许 : 允许 文件 通过 ， 对 HTIR、Fie 协 议 传输 的 文件 : 允许 文件 通过 ， 只 产生 日 
志 ; 对 SMTP、POP3 协 议 传输 的 文件 : 允许 文件 通过 ， 同 时 在 邮件 正文 中 添加 宣 
告 并 产生 日 志 。 


o 拒绝 : 阻 断 文件 通过 人 对 HTTP、FTP 协 议 传 输 的 文件 : 阻 断 文件 通过 ， 同 时 向 客 
户 端 推送 Web 页 面 并 产生 日 志 ; 对 SMTIP、POP3 协 议 传输 的 文件 : 阻 断 邮件 的 
附件 ， 同 时 在 邮件 正文 中 添加 宣告 并 产生 日 志 。 
o Áh “VAA, ERARE. 
注 : AV 策 略 的 公共 部 分 对 该 策略 的 所 有 协议 都 有 效 。 
出 于 系统 资源 的 考虑 ， A 用 户 的 配置 通过 还 是 阻 断 。 


对 于 密码 保护 的 文件 ， 由 于 网 关 设 备 不 具备 密码 破解 能 力 ， 因 此 可 以 由 用 户 设 定 对 密码 保 
护 文 件 的 处 理 方式 为 通过 还 是 阻 断 。 


文件 在 主机 上 以 一 定 的 格式 保存 、 读 取 和 解析 ， 对 于 格式 损坏 的 文件 ， 设 备 可 以 直 
接 检 测 到 ， 并 根据 用 户 的 配置 允许 通过 或 阻 断 。 




















配置 HTTP 协 议 反 病毒 


HTTP 协 议 配置 





病毒 扫描 
HTTP 传 输 模式 
断 点 续 传 
传输 体验 
文件 大 小 上 限 
文件 扫描 方式 









<1-20>MB 
o 指定 扩展 名 扫描 


响应 方式 告警 


wane |® 














。 对 使 用 HTTP 协 议 传输 的 文件 启用 病毒 扫描 。 
。 配置 对 HTTP 文 件 进行 病毒 扫描 的 参数 
。 配置 响应 方式 及 推送 内 容 
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。 在 “HTTP 协 议 配 置 ”区 域 框 中 配置 各 参数 。 


口 


口 


口 


口 


口 


口 




















启用 病毒 扫描 
HTTP 传 输 模式 
断 点 续 传 : AV 策 略 支 持 对 断 点 续 传 的 HTTP 文 件 进行 传输 ， 但 不 对 断 点 续 传 的 


HTTP 文 件 进行 病毒 扫描 
传输 体验 ， 启 用 此 功能 可 提高 文件 传输 速率 ， 但 有 可 能 导致 带 病 毒 的 文件 漏 阻 断 
。 在 观看 在 线 视频 的 情况 下 ， 请 启用 传输 体验 。 

文件 大 小 上 限 -s 以 Pest 方式 上 传 多 个 文件 时 ， 设 备 将 根据 多 个 文件 的 总 大 小 判定 
是 否 为 超大 文件 ; 当 经 过 设备 的 HTTP 协 议 文件 大 于 最 大 扫描 文件 大 小 的 值 时 ， 设 
备 根据 公共 配置 中 超大 文件 的 处 理 方式 丢弃 或 放行 该 文件 。 

文件 扫描 方式 >、 智能 扫描 : 根据 文件 的 真实 类 型 进行 扫描 。 此 方式 下 设备 扫描 所 
有 文件 ; 指定 扩展 名 扫描 : 根据 文件 扩展 名 表示 的 文件 类 型 进行 扫描 
响应 方式 ,告警 : 设备 只 产生 日 志 ， 不 对 HTTP 协 议 传输 的 文件 进行 处 理 就 发 送出 
去 ; 阻 断 : 设备 断 开 与 HTTP 服 务 器 的 连接 并 阻 断 文件 ， 向 客户 端 推 送 Web 页 面 
并 产生 日 志 

Web 推 送 内 容 ， 当 设备 阻 断 文件 传输 时 向 客户 端 推送 的 Web 页 面 内 容 。 














o 






































o 
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配置 FTP 协 议 反 病 毒 


图 FTP 协 议 配 置 





病毒 扫描 
FTP 传 输 模式 
断 点 续 传 
传输 体验 
文件 大 小 上 限 
文件 扫描 方式 
响应 方式 
推送 内 容 




















。 对 使 用 FTP 协 议 传 输 的 文件 启用 病毒 扫描 。 
。 配置 对 FTP 文 件 进行 病毒 扫描 的 参数 
。 配置 响应 方式 及 推送 内 容 
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。 在 “FTP 协 议 配置 ”区 域 框 中 配置 各 参数 。 


口 


口 


口 


口 


口 


口 


口 




















启用 病毒 扫描 
FTP 传 输 模式 
断 点 续 传 : AV 策 略 支持 对 断 点 续 传 的 FTP 文 件 进行 传输 ， 但 不 对 断 点 续 传 的 FTP 


文件 进行 病毒 扫描 。 

传输 体验 ， 启 用 此 功能 可 提高 文件 传输 速率 ， 但 有 可 能 导致 带 病 毒 的 文件 漏 阻 断 
。 在 观看 在 线 视频 的 情况 下 ， 请 启用 传输 体验 。 

文件 大 小 上 限 总 当 经 过 设备 的 FTP 协 议 文件 大 于 最 大 扫描 文件 大 小 的 值 时 ， 设 备 
根据 公共 配置 中 超大 文件 的 处 理 方式 丢弃 或 放行 该 文件 。 

文件 扫描 方式 , 智能 扫描 : 根据 文件 的 真实 类 型 进行 扫描 。 此 方式 下 设备 扫描 所 
有 文件 。 指定 护 展 名 扫描 : 根据 文件 扩展 名 表示 的 文件 类 型 进行 扫描 。 
WEIR MESSE: 设备 只 产生 日 志 ， 不 对 HTTP 协 议 传 输 的 文件 进行 处 理 就 发 送出 
Ay 阻 断 * 设备 断 开 与 HTTP 服务 器 的 连接 并 阻 断 文件 ， 向 客户 端 推送 Web 页 面 
并 产生 日 志 。 

Web 推 送 内 容 ， 当 设备 阻 断 文件 传输 时 向 客户 端 推送 的 Web 页 面 内 容 。 














配置 SMTP 协 议 反 病毒 





SMTP 协 议 配 置 
病毒 扫 损 
文件 大 小 上 限 
文件 扫 指 方式 


<1-20>MB 
© 指定 扩展 名 扫描 





SRS ATA 




















。 对 使 用 SMTP 协 议 传输 的 文件 启用 病毒 扫描 。 
。 配置 对 SMTP 文 件 进 行 病毒 扫描 的 参数 
。 配置 响应 方式 及 宣告 内 容 
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。 在 “SMIP 协 议 配 置 ”区 域 框 中 配置 各 参数 。 


口 


口 


口 


口 





启用 病毒 扫描 














je W Huawei 





文件 大 小 上 限 ， 当 经 过 设备 的 SMTR 协 议 文 件 大 于 最 大 扫描 文件 大 小 的 值 时 ， 
备 根 据 公 共 配 置 中 超大 文件 的 处 理 方式 丢弃 或 放行 该 文件 。 
文件 扫描 方式 ， 智 能 扫描 售 根 据 文件 的 真实 类 型 进行 扫描 。 此 方式 下 设备 扫描 所 





有 文件 ; 指定 扩展 名 扫 摘 沪 根 据 文件 扩展 名 表示 的 文件 类 型 进行 扫描 











o 





响应 方式 ， 告 警 : ,设备 具 产 生日 志 ， 不 对 HTTP 协 议 传 输 的 文件 进行 处 理 就 发 送出 
A; 阻 断 : 设备 断 开 与 HTTP 服 务 器 的 连接 并 阻 断 文件 ， 向 客户 端 推送 Web 页 面 


并 产生 日 志 
告 内 容 人 英文 ) ， 此 模式 下 配置 的 宣告 内 容 只 会 添加 到 字符 集 是 US-ASCIl 和 


UTF-7Z 的 邮件 中 。 


宣告 内 容 、 中 文 ) ， 此 模式 下 配置 的 宣告 内 容 只 会 


件 中 。 


添加 到 字符 集 是 CB2312 的 邮 








配置 POP3 协 议 反 病毒 


POP3 协 议 配置 





病毒 扫 损 
文件 大 小 上 限 
文件 扫描 方式 





<1-20>MB 
© 指定 扩展 名 扫 指 








响应 方式 


BAAR (英文 





包 合 病毒 ， 请 匆 打 开 











。 对 使 用 POP3 协 议 传输 的 文件 启用 病毒 扫描 。 
。 配置 对 POP3 文 件 进行 病毒 扫描 的 参数 
。 配置 响应 方式 及 宣告 内 容 
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。 在 “POP3 协 议 配置 ”区 域 框 中 配置 各 参数 。 


口 


口 


口 


口 


O 59] 











启用 病毒 扫描 
文件 大 小 上 限 ， 当 经 过 设备 的 POP3 协 议 文件 大 于 最 大 扫描 文件 大 小 的 值 时 ， 设 
备 根 据 公 共 配 置 中 超大 文件 的 处 理 方式 丢弃 或 放行 该 文件 。 

文件 扫描 方式 ， 智 能 扫描 售 根 据 文件 的 真实 类 型 进行 扫描 。 此 方式 下 设备 扫描 所 
有 文件 ;指定 扩展 名 扫 摘 沪 根 据 文件 扩展 名 表示 的 文件 类 型 进行 扫描 
响应 方式 ， 告 警 : ,设备 具 产 生日 志 ， 不 对 HTTP 协 议 传输 的 文件 进行 处 理 就 发 送出 
A; 阻 断 : 设备 断 开 与 HTTP 服 务 器 的 连接 并 阻 断 文件 ， 向 客户 端 推送 Web 页 面 
并 产生 日 志 

告 内 容 人 英文 ) ， 此 模式 下 配置 的 宣告 内 容 只 会 添加 到 字符 集 是 US-ASCIl 和 
UTF-7Z 的 邮件 中 。 

宣告 内 容 、 中文) ， 此 模式 下 配置 的 宣告 内 容 只 会 添加 到 字符 集 是 GB2312 的 邮 
件 中 。 



































o 








应 用 AV 策 略 


转发 策略 列表 
oP $138 R BRR FD BIR || anyzone v| ->| anyzone 司 Qa | Casa 





@| D 源 地 址 目的 地 址 用 户 服务 时 间 段 


日 untrust->trust 








CF IPs 


@ 
= (3 Jo 
F Webit3t 
厂 de Pritt 
厂 FTP 过 小 
r 应 用 控制 

















记录 日 志 
开启 第 略 会 话 凉 量 统 计 
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。 配置 完 策略 后 ， 需 要 应 用 邮件 过 滤 策 略 。 

o 选择 “防火 墙 > 安全 策略 > 转发 策略 ”。 

o 在 “转发 策略 列表 ”中 ， 单 击 W 新 建 ”。 
在 “新 建 转发 策略 ”区 域 六 依次 输入 或 选择 各 项 参数 。 
o 选中 “AV” 复 选 框 ,选择 前 面 配 置 的 相应 AV 策 略 。 
o 单 击 “ 应 用 ” ,完成 AV 防 病毒 策略 应 用 的 配置 。 





口 


o 5910 








o 5920 


总 结 


© 防火 墙 UTM 技 术 产 生 的 背景 ; 
。 防火 墙 UTM 特 性 ; 
。 防火 墙 UTM 特 性 配置 。 x 
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练习 题 


。 判断 题 
1，DPI 技 术 是 通过 对 报 文 的 应 用 层 数 据 进 行内 容 检测 ， a 7 
和 UDP/TCP 层 以 上 及 各 种 隧道 内 部 的 应 用 类 型 。 
2. 开启 AV 功 能 的 断 点 续 传 功能 后 ， 分 块 传输 不 再 扫描 ， 直 接 通过 
。 多 选 题 
1， 下 列 属于 应 用 层 常 见 的 攻击 有 ? 
A、 缓 冲 区 溢出 B AS C Cki 。 D、arp 欺 骗 网 
2. AV 功 能 支持 的 协议 类 型 包括 : 
A, HTTP By FTP C, SMTP D, POP3 
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习题 与 答案 : 


1、DPI 技 术 是 通过 对 报 文 的 应 用 层 数 据 进行 内 容 检测 ， 分 析 报 文 或 流 在 IP 和 UDP/TCP 层 以 
上 及 各 种 障 道内 部 的 应 用 类 型 。 


答案 : 正确 
2、 开 启 AV 功 能 的 断 点 续 传 功能 后 和 % 分 块 传输 不 再 扫描 ， 直 接 通过 。 
答案 : 正确 


3、 下 列 属于 应 用 层 常见 的 攻击 有 ? 
A、 缓 冲 区 溢出 B、 病 毒 C、CC 攻 击 D、crp 欺 驴 
答案 : ABC 

4、AV 功 能 支持 的 协议 类 型 包括 : 
A. MP B, FTP C SMIP D, POP3 


Zz: ABCD 


o 5930 








O 54] 


Thankyou 
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@ 目标 


。 学 完 本 课程 后 ， 您 将 能 够 : 
o 了 解 什么 是 终端 安全 
o 掌握 T SM 系统 的 组 成 部 分 及 如 何 部 署 
o 理解 T SM 系统 组 织 管理 和 准 入 控制 方式 
o 掌握 TSM 系 统 的 安全 策略 配置 
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O 5990 


-NETE 
© 非 授权 访问 
本 -50s 网 络 或 软件 异常 xX 
IEEE 
行为 规范 
难以 执行 
干 私 活 





。 访问 办 公 无 关 资源 


5 r xe 

ent! ng gY 规模 庞大 v ve rp 

BitTorrent t y WAS e 常 é 
mamaa 难以 监管 i hla 


Copyright © 2013 Huawei Technologies Co., Ltd. All rights reserved. Page 3 Ws HUAWEI 























企业 虽然 部 署 了 杀毒 软件 和 安全 设备 ,但 是 依然 存在 如 下 问题 : 

o 泄密 事件 屡禁不止 : 

o 非 授权 访问 : 外 来 电脑 、 跨 部 辣 接 入 电脑 、 跨 权限 访问 

o 有 意 泄密 : 外 设 拷 贝 、 聊 天 、 文件 传输 、 资 产 外 出 

o 无 意 泄密 : 病毒 木马 蠕虫 、 吗 意 网 站 、 资 产 丢失 

o 终端 异常 层 现 不 穷 

o 病毒、 蠕虫、 森马、 流氓 软件 导致 机 器 过 慢 

o 恶意 代码 或 入侵 事 件 导致 网 络 或 软件 异常 ， 使 得 上 T 人 员 沦 为 疲于奔命 的 “救火 队 





0 系统 破坏 软件 冲突 导致 频繁 宕 机 ， 使 得 叮 部 门 形象 受 损 
o 网 络 威胁 防不胜防 : 


o 病毒 、 里 虫 、 源 自 终端 的 恶意 攻击 (入 网 络 剪刀 手 、 网 络 执法 官 等 、ARP 攻 击 ) 
、 网 络 资源 滥用 导致 网 络 变 慢 甚至 业务 终端 或 应 用 系统 异常 


内 网 安全 状况 无 法 统一 掌控 





。 如 何 保障 安全 制度 的 。 如 何 保证 终端 安 
执行 ， 实 现 不 泄密 全 稳定 运行 
| Lf ~~ 
4 N / | fred, f > 
- a Sin 5 | RER J 
。 如 何 保证 终端 。 如何 管理 数量 庞大 
的 安全 接 入 、 类 型 多 样 的 终端 
Copyright © 2013 Huawei Technologies Co., Ltd. All rights reserved. Page 4 w HUAWEI 





AMRS mR, ARETE EMEA 
o 休息 日 是 否 有 外 来 终端 接 入 ? 
o 是 否 有 不 符合 安全 要 求 的 终端 接 入 ? 
o 是 否 有 越权 访问 重要 服务 器 的 行为 ? 
o 最 近 有 没有 泄密 事件 2 
o 本 次 网 络 事故 是 否 由 终端 造成 ? 
安全 制度 有 没有 火 违反 ? 











o 哪些 终端 安装 也 存在 法 律 问题 的 软件 ? 

o 如 何 将 办 公 软 件 或 新 补丁 部 署 到 上 万 台 终 端 ? 
o 分支 机 构 的 电脑 出 问题 了 ， 如 何 远程 解决 ? 
o 信息 泄密 违规 趋势 ? 

o 终端 安全 性 和 可 用 性 趋势 ? 

o ` 安 全 法 规 、 制 度 遵从 性 趋势 ? 


0 6010 

















M. THA, Beet 
x 55.9 
间谍 软件 333 
用 程序 的 沁 
mars 
CE ao Foal 


40 


IDC 统 计 报 告 











。 内 网 安全 主要 威胁 


o 存储 介质 滥用 与 失窃 o 重要 信息 资产 泄密 
o 未 授权 访问 o 病毒 及 恶意 代码 
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据 IiDC 统 计 报 告 和 CSI/FBI AVILES RAER, FHT HORA SAR. RRN 
访问 、 重 要 信息 资产 泄密 、|T 系 统 漏洞 、 病 毒 及 恶意 代码 、 IM 即 时 通讯 软件 和 非 工 作 时 间 
的 Web 访 问 已 经 成 为 企业 面临 的 最 严重 的 安全 威胁 之 一 。 而 目前 企业 信息 安全 建设 现状 是 ， 
企业 在 严防 死守 外 部 黑客 和 病毒 攻击 的 同时 ， 却 忽略 了 内 部 威胁 。 从 2 大 组 织 显 示 的 报告 
得 知 ， 有 大 量 的 企业 内 部 安全 威胁 正在 对 企业 重要 的 信息 资产 造成 严重 的 影响 。 


因此 ， 传 统 的 边界 防护 措施 在 越 来 越 多 的 内 网 安全 风险 面前 ， 呈 现 出 “形同虚设 ” 态 
势 。 所 以 ， 企 业 IT 管 理 人 员 需 要 逐步 将 工作 中 心 向 内 网 安全 防护 转移 。 





0 602 0 


防 病毒 软件 


9 





准 入 控制 + 桌面 管理 + 安全 管理 
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什么 是 终端 安全 ? 提 到 终端 安全 我 们 很 容易 联想 到 传统 的 防 病毒 软件 、 个 人 防火 墙 及 
补丁 管理 。 从 狭义 上 讲 ， 以 上 可 以 是 终端 安全 但 我 们 也 看 到 ， 以 上 终端 安全 是 孤立 的 ， 
也 就 是 说 从 广义 上 来 讲 ， 以 上 部 分 只 能 算 终 端 安 全 组 成 部 分 。 那 么 什么 是 终端 安全 ? 终端 
安全 要 解决 哪些 问题 ?为 什么 以 上 传统 终端 安全 产品 难以 从 根本 上 解决 安全 所 面临 的 问题 ? 

防 病毒 软件 在 20 世 纪 80 年 代 随 着 病毒 产生 而 产生 ， 经 过 近 几 十 年 的 发 展 ， 已 从 当时 的 
个 人 版 发 展 当前 的 网 络 版 、 网 关 版 % 但 企业 部 署 完 防 病毒 软件 后 ， 发 现 病 毒 感染 还 是 大 面 
积 发 生 ， 虽 然 有 产品 自身 技术 局 限 性 外 ， 其 中 各 终端 未 按 网 络 管理 人 员 要 求 进行 引擎 升级 、 
病毒 库 升级 占 大 多 数 ， 更 有 期 者 某 些 终端 长 时 间 都 未 安装 防 病毒 软件 。 而 个 人 防火 墙 、 补 
丁 管理 软件 在 企业 部 署 过 程 中 X 也 存在 与 防 病毒 软件 类 似 的 挑战 。 


基于 以 上 传统 终端 安全 所 面临 的 局 限 性 ，21 世 纪 初 期 ， 逐 步 有 IT 厂 商 开 发 出 软件 类 终 
端 安全 来 解决 所 面临 挑战 六 但 在 实施 交付 中 ， 厂 商 和 企业 越 来 越 感到 单纯 的 软件 类 终端 安 
全 很 难 从 体系 架构 层面 来 整体 解决 终端 所 面临 的 安全 问题 。 这 就 促使 一 批 具 有 综合 技术 能 
力 的 [厂商 介 入 终端 安全 领域 ， 华 为 公司 借助 自身 安全 实践 、 网 络 技 术 开发 、 安 全 软件 开 
发 等 能 力 , 提出 了 终端 安全 立体 防御 解决 。 所 谓 立体 防御 ， 是 指 基于 终端 所 面临 的 问题 ， 
对 相关 产品 发 组 件 进 行 整合 ， 形 成 统一 的 、 整 体 的 纵深 防御 方案 ， 以 解决 单一 防护 可 能 带 
来 的 局 限 性 3 


终端 安全 ， 是 采用 立体 防御 理念 形成 体系 化 产品 与 解决 方案 。 它 体现 了 立体 架构 和 主 
动 防御 思想 ， 并 通过 PDCA 模 型 (P 规 划 方 案 、D 实 施 维 护 、C 检 查 评估 、 人 A 人 处理 整改 ) 来 
寺 续 提升 企业 终端 的 安全 能 力 。 终 端 安全 立体 防御 体系 ， 即 通过 准 入 控制 来 识别 终端 用 户 
身份 /以 决定 是 否 允 许 其 接 入 ; 桌面 管理 是 通过 制定 相应 安全 策略 来 保障 终端 桌面 的 安全 ; 
安全 管理 是 通过 制定 适合 企业 业务 运营 要 求 的 安全 管理 ， 来 确保 所 制定 的 安全 策略 有 法 可 
依 。 
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现在 我 们 来 看 一 下 终端 安全 管理 解决 方案 的 设计 思路 。 
以 企业 安全 策略 为 核心 ， 用 户 在 接 入 企业 标准 网 络 之 前 ， 第 一 步 接受 身份 验证 ， 认 证 


通过 后 进行 第 二 步 强制 合 规 性 检查 (包括 安全 状态 和 系统 配置 检查 ) ， 服 务 器 依 所 





ate Sa 


果 作出 仲裁 ， 符 合 企业 安全 策略 即 可 授权 访问 相应 的 网 络 资源 ， 安 全 检查 不 合 规 的 终端 只 
能 访问 修复 资源 ， 完 成 必要 的 修复 后 才能 接 入 网 络 。 代 理 对 所 有 接 入 网 络 的 终端 进行 持续 
的 行为 监控 ， 及 时 对 违规 行为 作出 响应 ， 并 进行 记录 。 整 个 流程 形成 了 内 网 安全 保护 的 


PDCA 





= 


vim Se EN FA EHR 


业务 审计 安全 认证 
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身份 认证 准 入 控制 





终端 安全 体系 建立 需要 考虑 的 五 个 要 素 : 


身份 认证 : 
准 入 控制 : 
安全 认证 : 


理 等 ; 


业务 授权 : 
业务 审计 : 


关注 身份 标识 、 角 色 定义 、 交 部 认证 系统 等 ; 
关注 软件 防火 墙 、802.1X 妆 换 机 、 网 关 准 入 控制 、ARP、DHCP; 
关注 防 病毒 软件 、 补 可 管理 、 非 法 外 联 管理 、 存 储 介质 管理 、 上 网 行为 管 


关注 业务 系统 权限 控制 、 业 务 文档 权限 控制 ; 
关注 业务 系统 类 审计 、 业 务 文档 类 审计 。 
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TSM 体 系 架 构 简 述 


。 TSM 系 统 组 成 
。 终端 接 入 方式 
。 TSM 系 统 区 域 

















802.1x 交 换 机 
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1、TSM 系 统 组 成 : 
1) SM 管 理 服务 器 ; 
2) SC 控制 服务 器 ; 
3) 准 入 控制 : 硬件 SACG、8023IX 交 换 机 、 软 件 SACG; 
2、 终 端 接 入 方式 : 
1) Web， 只 进行 身份 认证 ; 
2) WebAgent， 进 行 身份 认证 和 部 分 安全 认证 ; 
3) Agenf， 进 行 身 份 认证 和 安全 认证 ; 
3、TSM 系 统 区 域 : 
1) 认证 前 域 、 身 份 认证 前 终端 所 能 访问 区 域 ; 
2) 隔离 域 \ 身份 认证 后 ， 安 全 认证 不 通过 终端 需 进行 安全 修复 的 区 域 ; 
3) ,认证 后 域 ， 安 全 认证 通过 后 ， 终 端 基 于 业务 需求 角色 所 授予 业务 资源 访问 权限 的 区 
域 ; 
4、TSM 系 统 区 域 与 安全 域 关 系 : 
1)/ 认 证 前 域 和 隔离 域 属于 安全 域 中 的 服务 域 ; 
2) 认证 后 域 属 于 安全 域 中 的 业务 域 ; 
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该 部 署 方式 的 主要 特点 是 将 yecospace 服务 器 的 集中 部 署 ， 根 据 管理 终端 数目 的 多 
少 ， 可 以 选择 SM、3C、 数 据 库 等 组 件 安 装 在 同一 台 服 务 器 上 ， 也 可 选择 分 别 安装 ， 并 可 
将 SC 做 成 群集 方式 以 实现 系统 见 余 (至少 2 合 以 上 53C 服 务 器 ) 。SACG 也 可 根据 需要 选择 
单机 或 者 双 机 热 备 。 


分 布 式 部 署 





= 核心 资源 服务 器 
| | | SN 
图 
认证 后 域 


Border route Intranet 
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如 果 遇 到 下 面 的 情况 ， 建 议 采用 分 布 式 组 网 : 


1. 终端 相对 集中 在 几 个 区 域 ， 而 且 区 域 蕊 间 的 带宽 比较 小 ， 由 于 代理 与 服务 器 之 间 存 在 一 
定 的 流量 ， 如 果 采 用 集中 式 部 署 ， 将 会 占用 区 域 之 间 的 带宽 ， 影 响 业 务 的 提供 ; 

2. 终端 的 规模 相当 大 ， 可 以 考虑 使 用 分 布 式 组 网 ， 避 免 大 量 终 端 访问 TSM 服 务 器 ， 占 用 大 
量 的 网 络 带宽 ; 


分 布 式 部 署 的 时 候 ， TSM 安 多 代理 选择 就 近 的 控制 服务 器 ， 获 得 身份 认证 和 准 入 控制 
等 各 项 业务 。 


i 


准 入 控制 技术 
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目前 ,业内 提供 NAC 方 案 的 厂商 运用 的 准 六 控制 方式 主要 包括 : 网 关 、802.1X、 
DHCP、 主 机 防火 墙 、ARP 等 方式 。 


现在 TSM 支 持 多 种 准 入 控制 方式 ,包括 网 关 、802.1X 和 主机 防火 墙 方式 。 


通过 这 三 种 强大 的 准 入 控制 手段 ， 基 本 能 覆盖 和 适应 所 有 典型 案例 的 准 入 控制 需求 ， 
包括 内 部 雇员 ,分 支 机 构 , 访 客 \ 远 程 办 公 等 不 同 角色 的 不 同 准 入 控制 ， 如 VPN\ 无 线 等 。 


三 种 准 入 控制 方式 既 可 独立 部 署 义 可 组 合 实施 ， 如 硬件 SACG+ 主 机 防火 墙 、 或 硬件 
SACG+802.1X， 能 够 有 效 实施 严格 的 准 入 控制 ， 同 时 成 为 解决 同 网 段 终端 互 访问 题 的 最 
佳 途径 。 

可 消融 代理 : 目前 通过 ActiveX 插 件 实现 ， 免 安装 和 和 仓 载 。 

前 域 只 有 一 个 ， 隔 离 域 和 后 域 支持 多 个 ， 可 以 给 不 同 部 门 或 用 户 指 定 。 
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旁 挂 模式 是 指 将 SACG 直 接 挂 接 在 原 有 网 络 中 的 核心 交换 机 或 路 由 器 上 ， 实 现 TSM 功 能 
的 组 网 模式 。 旁 挂 模式 可 以 在 不 影响 用 户 原 有 组 网 的 前 提 下 完成 TSM 功 能 的 部 署 。 


为 建立 访问 权限 管理 机 制 ， 根 据 呈 工 的 江 作 需要 授予 不 同 的 访问 权限 ， 保 护 企业 核心 
网 络 资源 ， 可 以 将 USG 作 为 T SM 的 SACG, 性 TSM 联 动 部 署 。 


。 主要 实现 如 下 需求 : 

o 部 署 了 两 合 T SM 控制 器 % 当 USG 与 两 合 TSM 控 制 器 均 无 法 联动 时 ，U5G 将 不 对 终端 
主机 控制 ， 终 端 主 机 全 部 放行 。 

o 内 网 的 终端 主机 上 驳 已 安装 TSM 代 理 软件 ， 但 是 为 了 使 某 些 临时 来 访 人 员 也 可 以 
进行 认证 , y 所 以 也 需要 配置 未 安装 T SM 代理 的 终端 用 户 通 过 Web 方 式 认证 。 

o 用 户 角色 不 同 、 能 访问 的 网 络 资 源 也 不 同 。 以 账号 UserA 为 例 ， 只 人 允许 | UserA 访 
问 “ 业 务 系统 ”， 人 禁止 访问 其 他 认证 后 域 资源 。 

o 当 终 端 用 户 身 份 认证 通过 ， 安 全 认证 未 通过 时 ， 需 要 在 隔离 域 中 修复 ， 如 下 载 补 
本 、 更 新 病毒 库 。 
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。 准 入 控制 包括 : 






TSM 系统 主要 功能 
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安全 管理 包括 : 





O 


o 访客 管理 、 例 外 设备 管理 、 some 授权 用 户 访问 范围 

o 身份 认证 、 合 规 性 检查 、 一 键 式 自动 修复 、 基 于 时 段 的 NAC 
~ 

o 安全 加 固 、 ranman S 


0 自 定义 各 种 安全 策略 、 信 息 泄密 防护 


2 mame =O 


。 桌面 管理 包括 : S 
; 资产 管理 


TSM 系 统 组 织 管理 
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TSM 系 统 支 持 层级 管理 的 组 织 结构 ， 系 统 中 一 个 部 门 对 应 于 企业 中 的 一 个 部 门 ， 支 持 
集中 管理 、 分 布 管理 和 分 级 管理 。 


TSM 系 统 实现 对 企业 或 部 门 内 部 的 员工 信息 进行 集中 维护 和 管理 。 用 户 名 可 以 重 名 ， 
即使 同一 部 门下 ， 用 户 名 也 可 以 重 名 ; 在 用 户 /账号 批量 导入 的 时 候 做 了 限制 ， 同 一 部 门 
下 同名 用 户 不 能 导入 。 

在 访问 企业 内 部 的 公共 资源 前 ,员工 需要 向 管理 员 申 请 账号 ， 员工 在 Tr SM 代理 、Web 
Agent 插 件 或 Web 客 户 端 输 穴 账号 进行 身份 认证 ， 通 过 身份 认证 和 安全 认证 后 员工 才能 访 
问 企业 内 部 的 公共 资源 。 湖 户 账 号 全 局 唯一 ， 包 括 系统 内 建 的 账号 ， 以 及 从 外 部 数据 源 同 
步 过 来 的 账号 。 

TSM 系 统 可 以 通过 对 企业 内 部 的 iP 地址 进行 管理 ， 实 现 各 项 业务 与 企业 内 部 的 iP 地址 
绑 定 ， 从 而 实现 企业 内 网 安全 的 目的 。 基 于 网 络 区 域 管理 是 一 种 与 基于 部 门 管理 不 同 的 管 
理 模式 ， 它 不 区 分 用 户 的 部 门 ， 而 是 根据 用 户 所 在 的 地 域 (IP 地 址 ) ， 分 区 进行 管理 。 
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。 普通 账号 /口令 认证 
o 终端 用 户 在 访问 受 控 网 络 前 ， 使 用 普通 账号 进行 身份 认证 
。 MAC 账 号 认证 
a 终端 主机 在 访问 受 控 网 络 前 使 用 本 机 的 MAC 地 址 进行 身份 认证 
。 AD 账号 认证 
o 网 络 中 已 经 部 署 了 Microsoft AD 域 控 制 器 ， 终 端 用 户 使 用 Microsoft AD 域 账 号 进行 
身份 认证 并 接 入 受 控 网 络 
e LDAP 认 证 
o 网 络 中 已经 部 署 了 LDAP 认 证 服务 器 ， 终 端 用 户 使 用 现 有 的 LDAP 账 号 进行 认证 
。 支持 USBKEY 认 证 
o 终端 用 户 在 访问 受 控 网 络 前 ， 使 用 移动 证 书 进行 身份 认证 
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安全 策略 -共享 目录 检查 


RQEHASRS MARANA: 
Denn © MPR OSA So Sth 

共享 账号 名 称 (用 户 或 组 ) 账号 违规 的 权限 违规 等 级 操作 
1 V] Everyone 写 权 限 , 充 全 控制 一 般 Ca 


| 修改 检查 共享 目录 的 三 号 
“共享 账号 名 称 (用 户 或 
48): 


账号 违规 的 权限 : L] i i VY) 写 权限 /参与 者 


“和 违规 等 级 ; 


说 明 = ~ 
| 。 在 Vista 采 统 下 读者 即 只 读 权限 ,参与 者 即 写 权限 ,共有 考 即 完全 控制 权限 。 


C=O AN 
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提供 终端 共享 目录 检查 功能 ， 检 查 终 端 PC 设置 共享 目录 的 情况 ， 支 持 检查 以 什么 账 





号 设置 共享 ， 以 及 该 账号 共享 的 权限 。 


口 共享 账号 名 称 称 (用 户 或 者 用 入 组 ) 


o 违规 共享 权限 : “ 读 权限 /读者 ”、“ 写 权限 /参与 者 ”、“ 完 全 控制 /共有 者 ” 


o 提供 自动 修复 功能 。 /删除 违规 共享 
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策略 -检查 打印 机 共享 





检查 打印 机 共享 

Het & ER 
策略 名 称 : 检查 打印 机 共享 
RESE: 检查 本 地 打印 机 共享 的 账号 以 及 权限 是 否 符合 要 求 ， 并 提供 自动 修复 功能 。 
策略 执行 参数 


7) 在 终端 显示 策略 检查 结果 出 现 严重 违规 则 禁止 接 入 网 络 


J 启用 自动 修复 客户 端 启 动 时 开始 执行 (系统 默认 为 认证 后 开始 执行 ) 
检查 周期 为 (分 钟 ): 60 


JY 允许 终端 共享 本 地 打印 机 

策略 违规 等 级 : 
共享 三 号 违规 权限 信息 表 : 
Owm 全 删除 SFA 心 导 出 


共享 账号 名 称 ( 用 户 或 组 ) 不 允许 拥有 的 权限 违规 等 级 操作 
1 园 Everyone 打印 管理 打印 机 管 .， 一 般 











[A 
1 第 1 MARIN i | @ 1-1, 共 1 条 
修复 建议 : 
修复 链接 ; 
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。 检查 打印 机 共享 目的 


o 检查 安装 在 本 地 的 打印 机 是 否 共 享 给 其 他 人 使 用 


。 检查 的 内 容 


口 


口 


口 


是 否 开启 打印 机 共享 
查 打印 权限 共享 给 哪些 账号 


A 
we 
A 
u 


检查 打印 机 共享 的 权限 : 打印 、 管 理 打印 机 、 管 理 文档 


。 提供 自动 修复 功能 


口 


0 618 [] 


自动 修复 的 时 候 / 删除 特定 账号 的 共享 ， 而 不 是 关闭 共享 


W Huawei 





安全 策略 -监控 UsB 存 储 设备 


BRUSER E 
RF wE 





监控 USB 存 钳 设 备 说 明 


策略 名 称 : 监控 US8 存 储 设备 
策略 描述 : 监控 终端 US8 存 储 设备 的 访问 ， 并 提供 文件 鉴 视 功能 。 





策略 执行 参数 f A 
O 禁用 移动 存储 设备 O 移动 存储 设备 只 读 O 监控 移动 存储 设备 © BATERE SS 

yj 在 终端 显示 策略 检查 结果 

J) 记录 移动 存储 设 备 的 括 找事 件 

」 允许 离线 解密 

7) 客户 端 启动 时 开始 执行 (系统 默认 为 认证 后 开始 执行 ) 


移动 存储 设备 禁用 或 只 读 时 提示 用 户 


F Lp 
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支持 只 禁用 USB 存 储 设 备 ， 即 允许 使 用 USB 髓 标 /键盘 之 类 的 非 存储 设备 ， 而 对 于 U 盘 
/USB 硬 盘 /USB 光 驱 之 类 的 存储 设备 完全 禁用 ， 


支持 USB 设 备 只 读 控 制 ， 即 允许 使 用 USB 非 存储 设备 ， 以 及 USB 存 储 设备 ， 对 于 USB 存 
储 设备 ， 只 人 允许 读 操作 ， 禁 止 写 操作 ; 


提供 USB 设 备 文件 操作 的 监控 能 力 ， 能 够 识别 并 且 记 录 文 件 操作 ; 


在 启用 加 密 写 功 能 后 ， 终 端 用 户 拷 贝 到 U 盘 的 文件 都 是 经 过 加 密 的 ， 只 有 该 企业 的 用 
户 并 且 安 装 了 TSM 安 全 代理 的 终端 ， 才 能 使 用 这 些 加 密 文件 ， 加 密 文 件 从 U 盘 拷贝 到 本 地 
硬件 自动 解密 。 
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安全 策略 -计算 机 外 设 监控 
QER WH Wott 
监控 系统 设备 
回 保存 & ER 
监控 系统 设备 说 明 
策略 名 称 : 监控 系统 设备 X 
策略 描述 : 提供 对 终端 蓝牙 设备 、 红 外 设备 、SD 控 制 器 等 系统 设备 的 禁用 功能 。 | 
策略 执行 参数 f 
J 在 终端 显示 策略 检查 结果 ] 客户 端 启动 时 开始 执行 (系统 默认 为 认证 后 开始 执行 ) 
7 禁用 设备 时 提示 用 户 
禁用 系统 设备 ~ 
(180 #0 红外 设备 
1394 控 制 器 E Modem SD/MMC 控 制 器 
加 软驱 On 蓝牙 设备 
PCMCIA 卡 
策略 违规 等 级 : -R oy 
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支持 软驱 /串口 /并 口 /红外 /1394/Modem7YPEMCIA/ 蓝 牙 /SD/MMC 卡 /本 地 打印 机 
等 计算 机 外 设 的 监控 功能 ， 支 持 配 置 禁止 外 部 设备 。 


当 检查 到 外 部 设备 或 者 接口 的 状态 与 策略 配置 不 同 ， 记 录 该 事件 ， 以 及 记录 是 否 禁 用 
成 功 ; 当 检 查 到 用 户 尝试 启用 被 强制 禁用 的 设备 ， 记 录 该 事件 。 
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安全 策略 -检查 端口 
oo 





yj 在 终端 显示 策略 检查 结果 出 现 严重 违规 则 禁止 接 入 网 络 
客户 端 启动 时 开始 执行 (系统 默认 为 认证 后 开始 执行 ) 


设置 检查 周期 为 (分 钟 ); 60 以 


禁止 开放 的 端口 列表 : 
© hn OMR 入 ASt 
端口 协议 操作 
1 回 80 TCP [A 
第 1 页 忌 共 1 页 i | 他 1-1, 共 1 条 


只 检查 为 LISTENING 状 态 的 端口 

















策略 违规 等 级 ; 一 般 ~ 
修复 建议 : 
修复 链接 : 
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。 检查 端口 的 目的 : 
通过 检查 主机 侦 听 的 端口 ， 判 断 主机 是 否 安装 了 什么 软件 ， 例 如 通过 该 功能 ， 可 以 检 
查 主机 是 否 开启 DHCP 服 务 。 
。 功能 说 明 : 
o 可 以 只 检查 侦 听 端口 , 也 下 以 检查 所 有 端口 ， 包 括 处 于 TIME_WAIT 类 的 端口 ; 


o 周期 对 终端 的 端口 进行 检查 ， 检 查 的 周期 可 以 配置 。 
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安全 策略 -监控 DHCP 设 置 


监控 DHCP 设 置 
回 保存 @ ER 








监控 DHCP 说 明 
策略 名 称 : 监控 DHCP 设 置 
策略 描述 : 监控 终端 DHCP 犀 性 的 设置 情况 ， 并 提供 自动 修复 功能 。 X 
策略 执行 参数 
在 终端 显示 策略 检查 结果 出 现 严重 违规 则 禁止 接 入 网 络 
启用 自动 修复 客户 端 启动 时 开始 执行 (系统 默认 为 认证 后 开始 执行 ) 


< 


强制 使 用 DHCP 协 议 
© ”检查 所 有 网 卡 忆 检 查 连 接 TSM 服 务 器 网 卡 检查 与 T5M 服 务 器 连接 之 外 的 网 卡 


策略 违规 等 级 ; 一 般 ~ 


修复 建议 : 上 


修复 链接 : 
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监控 DHCP 设 置 说 明 

o 检查 终端 是 否 使 用 DHCP 获 得 iP 地址。 

o 人 允许 强制 终端 必须 使 用 DHCP 获 得 Pp 地 址 ， 并 且 不 允许 终端 用 户 手 工 修改 (把 
TCP/IP 协 议 的 ”属性 “按钮 禁用 》。 

o 检查 所 有 的 网 卡 

o 仪 检查 连接 yC 控 制服 务 器 的 网 卡 (离线 的 情况 下 ， 由 于 无 法 判断 哪个 网 卡 连 接 服 
务 器 ， 在 此 选项 情况 中 不 检查 ) ; 

o 仪 检查 不 连接 yC 控 制服 务 器 的 网 卡 (离线 的 情况 下 ， 由 于 无 法 判断 哪个 网 卡 连接 
服务 器 ， 在 此 选项 情况 下 ， 不 检查 ) 。 


622 [] 


安全 策略 -非法 外 联 


发 现 非法 外 联 后 的 “提示 用 户 ， 并 记录 非法 外 联 事件 
控制 方式 ; 
O 允许 通过 合法 路 径 连 接 外 网 © 禁止 访问 互联 网 


目标 地 址 或 域名 ,如 : 
172.168.100.188:80( 用 ";" 分 
隔 多 个 地 址 ); 


Web 重 定向 服务 器 IP 地 址 ， 
如 : 172.168.100.188 
(用 分隔 多 个 地 址 ): 


说 明 : ~ 
p RE Ia S TAREA PO, RERA T ORE EE TEE EP, Ree 


. 在 配置 蔡 止 访 问 互联 网 时 ,如 果 终 端 到 可 以 与 目标 地 址 建立 连接 , 则 认为 该 该 终端 存在 非法 外 联 ; 如 果 局 域 网 
中 存在 web 重 定向 时 ， 如 防火 墙 web 推 送 ， 需 要 配置 web 重 定向 服务 器 地 址 ， 避 免 非法 外 联检 查 错 误 。 
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提供 无 合法 外 联 途 径 的 外 联 监控 功能 ,支持 主动 探测 指定 外 网 地 址 ， 防 止 任何 形式 的 
外 网 连接 ; 


提供 有 合法 外 联 途径 的 外 联 监控 , 蒂 持 探测 指定 外 网 地 址 ， 若 没有 经 过 指定 的 合法 的 
网 络 出 口 ， 则 上 报 服务 器 。 
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安全 策略 -检查 防 病 毒 软件 


En 


+ 软件 厂商 : Kingsoft 
+ 软件 名 称 ; Kingsoft Internet version 5.0-5.5 


* 软 件 版 本 : 2008-5-23 
* 病 毒 库 更 新 周期 (天 ); xX 


是 否 自动 修复 : 





是 否认 证 后 杀 素 ; OS 


认证 后 开始 杀毒 (分 钟 ): 
发 现 不 能 查 欠 的 病毒 作为 严重 违规 
SRE: V 内存 
系统 目录 (如 : C:\Windows\System) 
自 定义 路 径 (多 个 路 径 以 紧 线 | 分 隔 ) 








Copyright © 2013 Huawei Technologies Co., Ltd. All rights reserved. Page 27 w HUAWEI 


对 江 民 、 金 山 的 企业 杀毒 软件 供 防 病毒 软件 的 强 联动 功能 ， 提 供 自动 修复 功能 ， 自 动 
更 新 病毒 库 ;支持 认证 后 启动 杀毒 功能 和 能够 定义 启动 后 扫描 病毒 的 路 径 ， 包 括 内 存 / 系 
统 目录 ， 以 及 自 定义 的 路 径 等 ， 当 余 庙 存 在 无 法 查 杀 的 病毒 时 ， 与 接 入 控制 设备 联动 对 余 
端 进行 隔离 。 

支持 强 联动 杀毒 软件 : 

。 金山 毒霸 2006、2007% 2009 

e 江 民 KV2008,，KV2089KV2010, KVNET2008, KVNET2009, KVNET2010 





e Symantec AntiVirus ?0.0 企 业 版 、Endpoint Protection 11.0 
e Rising AntiVirus Software 2006, 2007, 2008, 2009, Internet Security 2009 


。 卡巴 斯 基 反 病毒 软件 6.0、7.0、2009、 反 病毒 软件 工作 站 5.0 


除 以 上 上 所 支持 的 强 联动 杀毒 软件 外 ， 还 支持 弱 联 动 杀毒 软件 为 业界 主流 杀毒 软件 ， 相 
关 信息 请 见 最 新 版 本 产品 文档 。 
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安全 策略 -补丁 检查 
配置 补丁 检查 内 容 
哲 作 系统 补丁 等 级 
站 关键 
VEE 
中 


低 
未 知 


了 和 Lk TENSOR REND 
。 SEGMENT , OA BRWSUSRTOMAT ESET EM FA 
HTAR: 
OnT 全 删除 补 本 WFA ASh 
IAES TERRIERS 违规 等 级 。 修复 建议 TRER 


isn MARIN > vi) 人心 


无 需 检查 的 例外 补丁 (需要 联动 ) 
合 增加 例外 补丁 O 删除 例外 补丁 WGA & StH 
知识 库 号 补丁 适用 操作 系统 操作 


(mf JAM) 史上 他 
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根据 补丁 的 级 别 检查 终端 PC 是 否 安装 了 特定 级 别 的 补丁 ， 补 丁 级 别 包 括 关键 、 严 重 、 
重要 、 一 般 、 未 知 ; (全 功能 模块 ) 

根据 补丁 列表 检查 终端 PC 是 否 安装 了 某 个 补丁 ; 

提供 例外 补丁 列表 ， 人 允许 某 些 补丁 不 检查 ， 当 存在 冲突 的 时 候 ， 以 例外 补丁 列表 的 要 
求 为 准 ; 

支持 配置 修复 建议 和 修复 连接 yf 实施 手工 修复 ; 

支持 自动 修复 。 
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总 结 

。 什么 是 终端 安全 

TSM 系 统 的 组 成 部 分 及 如 何 部 署 

。 TSM 系 统 组 织 管理 和 准 入 控制 方式 x 
。 TSM 系 统 的 安全 策略 配置 
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思考 题 


。 TSM 是 什么 ? 它 能 解决 哪些 终端 安全 问题 ? 

。 TSM 系 统 主要 由 哪些 组 件 组 成 ? 

。 SM、SC 组 件 在 TSM 系 统 中 各 承担 什么 角色 ， 那个 组 件 与 SACG 若 、 
业务 交互 ? 

。 TSM 系 统 有 哪 2 种 管理 维度 ?它们 之 间 有 何 区 别 ? 

。 TSM 系 统 可 支持 哪些 身份 认证 方式 ”它们 之 间 有 何 区 别 ? 

。 TSM 系 统 主要 有 哪些 安全 策略 ?” 这 些 安全 策略 各 解决 什么 问题 ? 
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Thank you 
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+ 
EARL Be 
通过 任 一 项 华为 职业 认证 ， 您 即 可 在 华为 在 线 学 习 网 站 (htfp;//earning.huawei.com/cn) 享有 如 下 特权 : 
。 1、 华为 E-learning 课程 学 习 
o AS: 所 有 华为 职业 认证 E-Learning 课 程 ， 扩 展 您 在 其 他 技术 领域 的 技术 知识 
BU: 请 提交 您 的 “华为 账号 ”和 注册 账号 的 “email 地 址 ”到 Learning@hvawei.com Hi¥FRK Re 
华为 培训 教材 下 载 
AS: 华为 职业 认证 培训 教材 + 华为 产品 技术 培训 教材 ， 覆 盖 企业 网 络 、 存 储 、 安 全 等 诸多 领域 
方式 : BREAZAS This, KA MEABI-ARBI! ， 在 具体 课程 页 面 即 可 下 载 教 料 8 
华为 在 线 公 开课 (LVC) 优 先 参与 
AR: 企业 网 络 、UC&C、 安 全 、 存 储 等 诸多 领域 的 职业 认证 课程 ， 华 为 讲师 授课 多 AREA MAIR 
HR: 开 班 计划 及 参与 方式 请 详 见 LVC 排 期 : 


http://support.huawei.com/learning/NavigationAction!createNaviFmavilidj=_16 

学 习 工 具 eNSP 
eNSP (Enterprise Network Simulation Platform), 是 由 华为 提供 的 免费 的 、 可 扩展 的 、 图 形 化 网 络 仿 
真 工 具 。 主 要 对 企业 网 路 由 器 和 交换 机 进行 硬件 模拟 ， 完 美 呈现 真实 设备 沉 回 ; 同时 也 支持 大 型 网 络 





模拟 ,让 大 家 在 没有 真实 设备 的 情况 下 也 能 够 进行 实验 测试 。 
另外 , 华为 建立 了 知识 分 享 平台 华为 认证 论坛 。 您 可 以 在 线 与 华为 技术 专家 交流 技术 ， 与 其 他 考生 分 享 考 试 
经 验 ， 一 起 学 习 华 为 产品 技术 。_( http://support.huawei.confjSeommmunity/bbs/list 2247.html ) 
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